Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Важные файлы зашифрованны

Радий Логачёв

Автор Радий Логачёв
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Радий Логачёв

Радий Логачёв

Опубликовано
Опубликовано (изменено)

Здравствуйте, поймал вирус, зашифровались все файлы! на рабочем столе поставилась заставка "Внимание! Все важные файлы на всех дисках были зашифрованы. Подробности вы можете прочитать в файлах readme.txt, которые можно найти на дисках."

CollectionLog-2015.07.09-00.38.zip

Изменено пользователем Радий Логачёв
Roman_Five

Roman_Five

Опубликовано
Опубликовано
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\users\user\appdata\local\smartweb\smartwebhelper.exe');
 TerminateProcessByName('c:\users\user\appdata\local\smartweb\smartwebapp.exe');
 TerminateProcessByName('c:\program files (x86)\24seven savings\24seven_savings_notification_service.exe');
 TerminateProcessByName('c:\program files (x86)\cinemaplus-3.2cv21.04\936023c0-5f54-4371-97a0-5398219cf5ab-10.exe');
 TerminateProcessByName('c:\program files (x86)\cinemaplus-3.2cv21.04\936023c0-5f54-4371-97a0-5398219cf5ab-1-6.exe');
 SetServiceStart('TS888x64', 4);
 SetServiceStart('SPDRIVER_1.42.0.1779', 4);
 SetServiceStart('QMUdisk', 4);
 StopService('AdBlockerService');
 QuarantineFile('c:\program files (x86)\kingsoft\kingsoft antivirus\uni0nst.exe','');
 QuarantineFile('C:\Users\user\AppData\Roaming\luckysearches\*','');
 QuarantineFile('C:\PROGRA~2\YOUTUB~1*','');
 QuarantineFile('C:\Program Files (x86)\ShopperPro\*','');
 QuarantineFile('C:\Program Files (x86)\SensePlus\*','');
 QuarantineFile('C:\Program Files (x86)\iWebar\*','');
 QuarantineFile('C:\Program Files (x86)\AnyProtectEx\*','');
 QuarantineFile('C:\Program Files (x86)\24Seven savings\*','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Program Files (x86)\AdBlocker\*','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\Smb_driver_Intel.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\innfd_1_10_0_13.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\TS888x64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\QMUdisk64.sys','');
 QuarantineFile('C:\WINDOWS\system32\CCL.dll','');
 QuarantineFile('C:\Users\user\AppData\Local\SmartWeb\*','');
 QuarantineFile('c:\program files (x86)\cinemaplus-3.2cv21.04\*','');
 DeleteFileMask('c:\program files (x86)\cinemaplus-3.2cv21.04\','*', true, '');
 DeleteDirectory('c:\program files (x86)\cinemaplus-3.2cv21.04\ ',' ');
 DeleteFileMask('C:\Program Files (x86)\Tencent\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\Tencent\ ',' ');
 DeleteFileMask('C:\Program Files (x86)\ShopperPro\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\ShopperPro\ ',' ');
 DeleteFile('C:\Users\user\AppData\Local\Yandex\browser.bat','32');
 DeleteFile('C:\Users\user\AppData\Roaming\Browsers\exe.resworb.bat','32');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\WINDOWS\Tasks\24seven_savings_notification_service.job','64');
 DeleteFileMask('C:\Program Files (x86)\24Seven savings\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\24Seven savings\ ',' ');
 DeleteFile('C:\WINDOWS\Tasks\24seven_savings_updating_service.job','64');
 DeleteFile('C:\WINDOWS\Tasks\936023c0-5f54-4371-97a0-5398219cf5ab-1-6.job','64');
 DeleteFile('C:\WINDOWS\Tasks\936023c0-5f54-4371-97a0-5398219cf5ab-10_user.job','64');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','64');
 DeleteFileMask('C:\Program Files (x86)\AnyProtectEx\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\AnyProtectEx\ ',' ');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','64');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','64');
 DeleteFile('C:\WINDOWS\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-1-6.job','64');
 DeleteFile('C:\WINDOWS\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-1-7.job','64');
 DeleteFile('C:\WINDOWS\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-5.job','64');
 DeleteFile('C:\WINDOWS\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-5_user.job','64');
 DeleteFile('C:\WINDOWS\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-1-6.job','64');
 DeleteFile('C:\WINDOWS\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-1-7.job','64');
 DeleteFile('C:\WINDOWS\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-5.job','64');
 DeleteFile('C:\WINDOWS\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-5_user.job','64');
 DeleteFileMask('C:\Program Files (x86)\iWebar\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\iWebar\ ',' ');
 DeleteFile('C:\WINDOWS\system32\Tasks\24seven_savings_notification_service','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\24seven_savings_updating_service','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\936023c0-5f54-4371-97a0-5398219cf5ab-1-6','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\936023c0-5f54-4371-97a0-5398219cf5ab-10_user','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP1','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP3','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-1-6','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-1-7','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-11','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-5','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-5_user','64');
 DeleteFileMask('C:\Program Files (x86)\SensePlus\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\SensePlus\',' ');
 DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-1-6','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-1-7','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-11','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-5','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-5_user','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\ShopperPro','64');
 DeleteFileMask('C:\Program Files (x86)\ShopperPro\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\ShopperPro\',' ');
 DeleteFile('C:\WINDOWS\system32\Tasks\ShopperProJSUpd','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\YTAUpdate','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\YTAUpdate_logon','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\SPDriver','64');
 DeleteFileMask('C:\PROGRA~2\YOUTUB~1\','*', true, '');
 DeleteDirectory('C:\PROGRA~2\YOUTUB~1\',' ');
 DeleteFile('C:\WINDOWS\system32\Tasks\{17BF5D82-C054-48AD-83C6-A098FA086CA2}','64');
 DeleteFileMask('C:\Users\user\AppData\Roaming\luckysearches\','*', true, '');
 DeleteDirectory('C:\Users\user\AppData\Roaming\luckysearches\ ',' ');
 DeleteFile('C:\WINDOWS\system32\Tasks\{E3536241-02A2-4379-B32D-B2A5ED23FF8C}','64');
 DeleteFile('c:\program files (x86)\kingsoft\kingsoft antivirus\uni0nst.exe','32');
 DeleteFileMask('c:\program files (x86)\adblocker\','*', true, '');
 DeleteDirectory('c:\program files (x86)\adblocker\ ',' ');
 DeleteFileMask('C:\Users\user\appdata\local\smartweb\','*', true, '');
 DeleteDirectory('C:\Users\user\appdata\local\smartweb\ ',' ');
 DeleteFile('C:\WINDOWS\system32\ccl.dll','32');
 DelBHO('0633EE93-D776-472f-A0FF-E1416B8B2E3D');
 DelBHO('FCE3FA8B-BA81-467C-81D8-E43C00D1BC71');
 DelCLSID('754DF2CE-51E8-4895-B53C-6381418B84AE');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
 DeleteService('TS888x64');
 DeleteService('SPDRIVER_1.42.0.1779');
 DeleteService('QMUdisk');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e686631368c41a2128f86a9e0c8bac22&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e686631368c41a2128f86a9e0c8bac22&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: YTAHelperBHO - {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} - (no file)
O4 - HKLM\..\Run: [SmartWeb] C:\Users\user\AppData\Local\SmartWeb\SmartWebHelper.exe
O4 - Startup: SmartWeb.lnk = C:\Users\user\AppData\Local\SmartWeb\SmartWebHelper.exe
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e686631368c41a2128f86a9e0c8bac22&text=
 
 
Сделайте новые логи по правилам (только пункт 2).

+ логи MBAM и ADwCleaner

 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • satantime
      Поймали шифратор
      Автор satantime
      На пк словили шифратор, заблокировался доступ к текстовым файлам, фото
      CollectionLog-2015.07.03-16.19.zip
    • sitnik762
      Добрый день!
      Автор sitnik762
      Поймал месяц назад шифровальщика! Из почты с темой арбитражный суд. Половина файлов на ПК превратились в неизвестный формат...
    • bvitaliyy
      остановление доступа файлов pdf после заражения трояном
      Автор bvitaliyy
      Я должен был убрать троян из моего ноутбука . После нескольких часов работы и сканирования вредоносного ПО, я избавился от этой проблемы и все, казалось, будет хорошо.... тогда я понял, что я был неправ. Я понял, «некоторые» из моих глинобитных файлов на моем жестком диске не могут быть открыты и файлы повреждены и выдают ошибки. Я знаю, что эти файлы являются действительными и я их  использовал (по крайней мере до вируса)У меня погорело очень много важных мне файлов pdf, я всегда пересохраняю док файлы в pdf.Для некоторых файлов у меня есть резервные копии, но для некоторых я не делаю. Так нужно найти способ восстановить их.
    • CadCopy
      Зашифрованные файлы (.green)
      Автор CadCopy
      Здравствуйте. 
      Помогите, пожалуйста, расшифровать файлы. 
      Был скачан и запущен файл flashplayer18axau_hd_install.exe (в целях безопасности не прилагаю ссылку)
      В нем, судя по всему, был троян.
      Большинство файлов doc/pdf, которые были в папке с общим доступом, были зашифрованы (формат файлов стал .green) 
      Текст "послания" 
       
      "Унать стоимость декриптора можно, написав письмо на адрес:soldgreens@gmail.com
      В ТЕМЕ письма УКАЖИТЕ ВАШ ID:2456095539   Убедительная просьба не пытаться расшифровать файлы сторонними инструментами. Вы можете их окончательно испортить и даже оригинальный дешифровщик не поможет. Обращения принимаются до 20.06.2015 После 20.06.2015 любые обращения будут игнорироваться.   Письма обрабатываются автоматической системой." Проведена проверка ПК с помощью Kaspersky Virus Removal Tool 2015. На компьютере установлен Kaspersky Endpoint Security 10. Прилагаю все нужные файлы.
       
      Addition.txt
      FRST.txt
      CollectionLog-2015.06.25-14.41.zip
    • maikl555
      Файлы зашифровались
      Автор maikl555
      mike такая же проблема случилось вот файлы как положено прикрепил помоги разобраться прошу
         
      Addition.txt
      FRST.txt
×
×
  • Создать...