Перейти к содержанию

Словил вирус-шифровщик, нужна помощь


Рекомендуемые сообщения

Словил в интернете вирус, который зашифровал все личные данные (документы, фото, видео, музыку) и создал в каждом диске 10 текстовых readme файлов со следующим текстом:

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
E7ECF7BA5E98474A04B5|0
на электронный адрес decode010@gmail.com или decode1110@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
E7ECF7BA5E98474A04B5|0
to e-mail address decode010@gmail.com or decode1110@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
 
Прочел форум, сказано было, что для каждого случая подобного отдельную тему создавать для возможности восстановления данных. Скачал с вашего сайта автологер, в приложении лог его работы.
 
Очень надеюсь на вашу помощь и заранее благодарю за поддержку.

CollectionLog-2015.07.11-22.23.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\user\AppData\Local\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('C:\Users\user\AppData\Roaming\newSI_2149\s_inst.exe','');
QuarantineFile('C:\Users\user\AppData\Roaming\eTranslator\eTranslator.exe','');
QuarantineFile('C:\Users\user\AppData\Roaming\Browsers\exe.resworb.bat','');
QuarantineFile('C:\Users\user\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\user\AppData\Roaming\Browsers\exe.emorhc.bat','');
DeleteService('storegidfilter');
SetServiceStart('wsfd_vt_1_10_0_20', 4);
DeleteService('wsfd_vt_1_10_0_20');
SetServiceStart('skinapp', 4);
DeleteService('skinapp');
SetServiceStart('innfd_1_10_0_14', 4);
DeleteService('innfd_1_10_0_14');
DeleteService('vicoqudu');
DeleteService('Oexufafono');
DeleteService('pylizyku');
QuarantineFile('C:\Users\user\AppData\Roaming\8E028655-1436353922-2F51-F20E-159E5ABAE778\knseD181.tmp','');
DeleteService('lehepusi');
DeleteService('insvc_1.10.0.14');
DeleteService('csrcc');
DeleteService('8dadad2f-d980-4b45-ab50-b9af125601a7');
SetServiceStart('wssvc_1.10.0.20', 4);
DeleteService('wssvc_1.10.0.20');
SetServiceStart('IHProtect Service', 4);
DeleteService('IHProtect Service');
QuarantineFile('C:\Windows\system32\drivers\wsfd_vt_1_10_0_20.sys','');
QuarantineFile('C:\Windows\skinapp.sys','');
QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','');
QuarantineFile('C:\Windows\system32\Oexufafono.dll','');
TerminateProcessByName('c:\program files (x86)\wordshark_1.10.0.20\service\wssvc.exe');
QuarantineFile('c:\program files (x86)\wordshark_1.10.0.20\service\wssvc.exe','');
TerminateProcessByName('c:\program files (x86)\miuitab\protectservice.exe');
QuarantineFile('c:\program files (x86)\miuitab\protectservice.exe','');
DeleteFile('c:\program files (x86)\miuitab\protectservice.exe','32');
DeleteFile('c:\program files (x86)\wordshark_1.10.0.20\service\wssvc.exe','32');
DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32');
DeleteFile('C:\Windows\skinapp.sys','32');
DeleteFile('C:\Windows\system32\drivers\wsfd_vt_1_10_0_20.sys','32');
DeleteFile('8dadad2f-d980-4b45-ab50-b9af125601a7.sys','32');
DeleteFile('csrcc.sys','32');
DeleteFile('insvc_1.10.0.14','32');
DeleteFile('C:\Users\user\AppData\Roaming\8E028655-1436353922-2F51-F20E-159E5ABAE778\knseD181.tmp','32');
DeleteFile('Oexufafono.sys','32');
DeleteFile('pylizyku.sys','32');
DeleteFile('sedococo.sys','32');
DeleteFile('vicoqudu.sys','32');
DeleteFile('storegidfilter.sys','32');
DeleteFile('C:\Users\user\AppData\Roaming\Browsers\exe.emorhc.bat','32');
DeleteFile('C:\Users\user\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Users\user\AppData\Roaming\Browsers\exe.resworb.bat','32');
DeleteFile('C:\Users\user\AppData\Roaming\eTranslator\eTranslator.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eTranslator Update','command');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\Windows\Tasks\newSI_2149.job','64');
DeleteFile('C:\Users\user\AppData\Roaming\newSI_2149\s_inst.exe','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\Windows\system32\Tasks\newSI_2149','64');
DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
DeleteFile('C:\Users\user\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
DeleteFile('C:\Windows\system32\Oexufafono.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(15);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Все сделал, как вы и сказали, но ответа от newvirus@kaspersky.com нет. Прикрепляю логи после повторного выполнения правил и отчет

CollectionLog-2015.07.12-19.50.zip

ClearLNK-12.07.2015_19-58.log

Изменено пользователем Андрей Ионов
Ссылка на комментарий
Поделиться на другие сайты

+ Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
B92LqRQ.png
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-838715631-71472802-3414048137-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ceb7a9517fd96d9a675775556588d470&text={searchTerms}
HKU\S-1-5-21-838715631-71472802-3414048137-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ceb7a9517fd96d9a675775556588d470&text={searchTerms}
URLSearchHook: HKU\S-1-5-21-838715631-71472802-3414048137-1000 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ceb7a9517fd96d9a675775556588d470&text= <==== ATTENTION
Winsock: Catalog9-x64 01 C:\Windows\system32\Oexufafono64.dll File Not ' & $found1 & '
Winsock: Catalog9-x64 02 C:\Windows\system32\Oexufafono64.dll File Not ' & $found1 & '
Winsock: Catalog9-x64 03 C:\Windows\system32\Oexufafono64.dll File Not ' & $found1 & '
Winsock: Catalog9-x64 04 C:\Windows\system32\Oexufafono64.dll File Not ' & $found1 & '
Winsock: Catalog9-x64 15 C:\Windows\system32\Oexufafono64.dll File Not ' & $found1 & '
FF user.js: detected! => C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2015-07-09]
FF Extension: Ads Removal - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\adremoveext@adremoveext.net [2014-10-25]
FF Extension: SuperMegaBest.com - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2014-07-01]
FF HKLM\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\user\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack
FF Extension: SuperMegaBest.com - C:\Users\user\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack [2015-02-27]
FF HKLM-x32\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\user\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2014-08-31]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-08-31]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-08-31]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\bfegaehidkkcfaikpaijcdahnpikhobf [2014-09-04]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgomnbpelpcdicbnicimghcecemjpbef [2015-03-08]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-08-31]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\cegdomhocaeoedbdpfolmgjkjaijfomo [2015-03-08]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjpalhdlnbpafiamejdnhcphjbkeiagm [2015-07-08]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-08-31]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\ddgcpabamadfhbaambaijdhdkkijlaea [2015-03-11]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2014-08-31]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpkfeniokfjiafdamlfhjoojlndpcaji [2015-03-11]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-16]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl [2014-12-28]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdanidgdpmkimeiiojknlnekblgmpdll [2014-09-04]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\mmcegpfdgcoclcdfkjahiimlikdpnina [2014-09-17]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-08-31]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-08-31]
CHR HKLM-x32\...\Chrome\Extension: [bgomnbpelpcdicbnicimghcecemjpbef] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cegdomhocaeoedbdpfolmgjkjaijfomo] - https://clients2.google.com/service/update2/crx
S2 UfockFuloxo; No ImagePath
2015-07-09 07:54 - 2015-07-09 07:54 - 00000000 ____D C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\skinapp
2015-07-09 07:25 - 2015-07-11 05:11 - 00000000 ____D C:\Users\user\AppData\Local\SmartWeb
2015-07-09 00:31 - 2015-07-09 00:31 - 03932214 _____ C:\Users\user\AppData\Roaming\CE5407D4CE5407D4.bmp
2015-07-08 19:35 - 2015-07-10 14:56 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-07-08 19:35 - 2015-07-10 14:56 - 00000000 __SHD C:\ProgramData\Windows
2015-07-08 14:12 - 2015-07-10 04:42 - 00000000 ____D C:\Users\user\AppData\Roaming\8E028655-1436353922-2F51-F20E-159E5ABAE778
2015-07-08 14:12 - 2015-07-08 14:09 - 00000855 _____ C:\Windows\system32\Drivers\etc\hp.bak
2015-07-08 14:09 - 2015-07-11 23:19 - 00000000 ____D C:\Users\user\AppData\Roaming\Browsers
2015-07-08 14:09 - 2015-07-08 14:09 - 00000000 ____D C:\Users\user\AppData\Roaming\SPI
2015-07-08 23:29 - 2014-08-12 01:06 - 00000000 ____D C:\Users\user\AppData\Local\storegid
2015-05-03 17:21 - 2015-03-31 19:00 - 0200992 ____H (Яндекс) C:\Users\user\AppData\Roaming\YаndехDiskStаrtеr.bаt.exe
2015-05-03 17:21 - 2015-03-31 19:00 - 3989280 ____H (Яндекс) C:\Users\user\AppData\Roaming\YаndехDiskSсrееnshоtЕditоr.bаt.exe
2015-05-03 17:21 - 2015-05-03 17:21 - 0000146 ____H () C:\Users\user\AppData\Local\chrome.bat
2015-05-03 17:21 - 2015-04-02 13:45 - 0709120 ____H (The Orbitum Authors) C:\Users\user\AppData\Local\сhrоmе.bаt.exe
Task: {1E891AAE-48AE-49A0-BAEE-05196B6C8D50} - \WordShark Auto Updater 1.10.0.20 Pending Update No Task File <==== ATTENTION
Task: {C284DFB4-4EF6-49D5-9107-322621B5C55C} - \Dlvfecrd No Task File <==== ATTENTION
Task: {EB0EEE0C-9FEB-4C17-9037-FC071DD160B9} - \WordShark Auto Updater 1.10.0.20 Core No Task File <==== ATTENTION
Task: {F5904EF0-D34C-4F06-B312-2D9AB20BFA2A} - \SmartWeb Upgrade Trigger Task No Task File <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Oexufafono => ""="service"
FirewallRules: [{296C0A11-5412-419E-A754-26F82C5550C0}] => (Allow) C:\program files (x86)\common files\baidu\bddownload\109\bddownloader.exe
CMD: netsh winsock reset
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
 

 

  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты


ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  •  
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:


2015-07-13 21:27 - 2015-05-03 17:24 - 00000008 __RSH C:\Users\Все пользователи\ntuser.pol
2015-07-13 21:27 - 2015-05-03 17:24 - 00000008 __RSH C:\ProgramData\ntuser.pol

  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 

 

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Vopj
      От Vopj
      В определенный момент начала возникать большая нагрузка на CPU, возник сильный перегрев. RogueKiller обнаружил PuzzleMedia, CureIt не запускается ввобще, к сожалению по причине отсутствующих навыков, самостоятельно разобраться не получилось, прошу помощи.
      CollectionLog-2024.11.13-21.04.zip
    • KakoeImyaSdelat
      От KakoeImyaSdelat
      Добрый день, программа "RogueKiller" выявляет майнер "PuzzleMedia" и у меня самостоятельно удалить не получается. Ощущение, что вирусы блокируют некоторые сайты, помогите, пожалуйста
       
    • КираРи
      От КираРи
      Я не знаю что нужно прилагать и что должно быть, но вирус удалить или вылечить не смогла даже с помощью Dr. Web, ноутбук пыхтит даже когда не нагружен работой, помогите я не знаю что делать 
    • Tsushima52
      От Tsushima52
      Заметил, что температура процессора и его нагрузка очень сильно увеличивается, когда не включен диспетчер задач
      Помогите удалить майнер
    • LeoNid2024
      От LeoNid2024
      Был взломан сервер по rdp, все файлы зашифрованы, NAS к сожалению не работал.
      Система просканирована kvrt.exe. Найдено вредоносное ПО. 
       
       
       
      KVRT2020_Data.zip
      Зашифрованные файлы.zip
×
×
  • Создать...