Yuri Dugin Опубликовано 12 июля, 2015 Share Опубликовано 12 июля, 2015 (изменено) Здравствуйте! Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: D422B7A51CCFF90D24B2|0 на электронный адрес files1147@gmail.com или post100023@gmail.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. CollectionLog-2015.07.12-11.35.zip Изменено 12 июля, 2015 пользователем Yuri Dugin Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 12 июля, 2015 Share Опубликовано 12 июля, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Пользователь\AppData\Local\Microsoft\Extensions\safebrowser.exe',''); QuarantineFile('C:\Program Files (x86)\Common Files\Install Manager\Install Manager.exe',''); QuarantineFile('C:\Users\Пользователь\AppData\Roaming\BI_982505917\BI_982505917.bat',''); DelBHO('{68261aaa-dc9f-4c2b-a168-c323e304c3a2}'); QuarantineFile('C:\Program Files (x86)\snipsmart\snipsmartbho.dll',''); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Users\Пользователь\AppData\Roaming\update_mjoahfjnfmhgjiioedjkbclgkcjcbjef\plinst.exe',''); QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.resworb.bat',''); QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.resworb-mooronik.bat',''); QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.erolpxei.bat',''); QuarantineFile('C:\Users\Пользователь\AppData\Local\screentk\screentool.exe',''); QuarantineFile('C:\Users\Пользователь\AppData\Local\Yandex\browser.bat',''); QuarantineFile('C:\ProgramData\Schedule\timetasks.exe',''); QuarantineFile('C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.1380\jsdrv.exe',''); DeleteService('QMUdisk'); QuarantineFile('C:\Windows\SysWOW64\lnsecsl.exe',''); QuarantineFile('C:\Users\Пользователь\AppData\Roaming\VOPackage\nsk2123.tmpfs',''); DeleteService('Util snipsmart'); DeleteService('lyzuvexo'); DeleteService('Adobe Licensing Console'); QuarantineFile('C:\Program Files (x86)\snipsmart\bin\utilsnipsmart.exe',''); TerminateProcessByName('c:\users\Пользователь\appdata\local\mediaget2\mediaget.exe'); TerminateProcessByName('c:\program files (x86)\napnut\nezavisimo\krip.exe'); QuarantineFile('c:\program files (x86)\napnut\nezavisimo\krip.exe',''); TerminateProcessByName('c:\programdata\windows\csrss.exe'); QuarantineFile('c:\programdata\windows\csrss.exe',''); DeleteFile('c:\programdata\windows\csrss.exe','32'); DeleteFile('c:\program files (x86)\napnut\nezavisimo\krip.exe','32'); DeleteFile('c:\users\Пользователь\appdata\local\mediaget2\mediaget.exe','32'); DeleteFile('C:\Program Files (x86)\snipsmart\bin\utilsnipsmart.exe','32'); DeleteFile('C:\Users\Пользователь\AppData\Roaming\VOPackage\nsk2123.tmpfs','32'); DeleteFile('C:\Windows\SysWOW64\lnsecsl.exe','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.5.15816.217\QMUdisk64.sys','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Nezavisimo'); DeleteFile('C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.1380\jsdrv.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SPDriver','command'); DeleteFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader','command'); DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); DeleteFile('C:\Users\Пользователь\AppData\Local\ConvertAd\ConvertAd.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ConvertAd','command'); DeleteFile('C:\Users\Пользователь\AppData\Local\MediaGet2\mediaget.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaGet2'); DeleteFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\system.vbs','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SystemScript','command'); DeleteFile('C:\Users\Пользователь\AppData\Local\PriceFountain\pricefountainw.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pricefountainw.exe','command'); DeleteFile('C:\Users\Пользователь\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\Users\Пользователь\AppData\Local\screentk\screentool.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\screentk','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegid','command'); DeleteFile('C:\Users\Пользователь\AppData\Local\storegid\storegid.exe','32'); DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.erolpxei.bat','32'); DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.resworb-mooronik.bat','32'); DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.resworb.bat','32'); DeleteFile('C:\Users\Пользователь\AppData\Roaming\update_mjoahfjnfmhgjiioedjkbclgkcjcbjef\plinst.exe','32'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Program Files (x86)\snipsmart\snipsmartbho.dll','32'); DeleteFile('C:\Windows\Tasks\BI_982505917.job','64'); DeleteFile('C:\Windows\Tasks\GAJDJK.job','64'); DeleteFile('C:\Windows\Tasks\KO.job','64'); DeleteFile('C:\Windows\system32\Tasks\appdistrib','64'); DeleteFile('C:\Windows\system32\Tasks\BI_982505917','64'); DeleteFile('C:\Users\Пользователь\AppData\Local\Microsoft\Extensions\safebrowser.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи Ссылка на комментарий Поделиться на другие сайты More sharing options...
Yuri Dugin Опубликовано 18 июля, 2015 Автор Share Опубликовано 18 июля, 2015 Шифроватор логи [KLAN-2982479016] Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru" Где взять Check_Browsers_LNK.log ? Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 18 июля, 2015 Share Опубликовано 18 июля, 2015 В папке Autologger Ссылка на комментарий Поделиться на другие сайты More sharing options...
Yuri Dugin Опубликовано 18 июля, 2015 Автор Share Опубликовано 18 июля, 2015 Логи ClearLNK-18.07.2015_17-11.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 18 июля, 2015 Share Опубликовано 18 июля, 2015 Вам на каждый невыполненный шаг указывать? Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи Ссылка на комментарий Поделиться на другие сайты More sharing options...
Yuri Dugin Опубликовано 18 июля, 2015 Автор Share Опубликовано 18 июля, 2015 Логи CollectionLog-2015.07.18-18.50.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 18 июля, 2015 Share Опубликовано 18 июля, 2015 Сделайте лог полного сканирования МВАМ Ссылка на комментарий Поделиться на другие сайты More sharing options...
Yuri Dugin Опубликовано 21 июля, 2015 Автор Share Опубликовано 21 июля, 2015 mbam лог.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 21 июля, 2015 Share Опубликовано 21 июля, 2015 Удалите в МВАМ все, кроме PUP.Optional.LoadMoney, C:\Users\Пользователь\Downloads\diablo 2 - grozdya gneva diablo 2 - grapes of wrath.exe, , [abbb23c1800a38fef563a996d12fad53], PUP.Optional.LoadMoney, C:\Users\Пользователь\Downloads\diablo 2 - grozdya gneva diablo 2 - grapes of wrath (1).exe, , [a7bfc1237119171fd6826ed146baa060], PUP.Optional.BundleInstaller.A, C:\Users\Пользователь\Downloads\skachat_torrent_diablo_2_grozd_ya_gneva2006_rus.exe, , [184ee9fbdbafb97dbe79a9c159ace11f], PUP.Optional.LoadMoney, C:\Users\Пользователь\Downloads\diablo2 tfile ru.exe, , [74f27e668cfe56e03e1a3c03f7098c74], Trojan.FakeMS, C:\Users\Пользователь\Downloads\torrent.exe, , [d98d2bb9b4d65ed86e73272234cd9d63], Ссылка на комментарий Поделиться на другие сайты More sharing options...
Yuri Dugin Опубликовано 22 июля, 2015 Автор Share Опубликовано 22 июля, 2015 Все, удалил. Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 22 июля, 2015 Share Опубликовано 22 июля, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Yuri Dugin Опубликовано 22 июля, 2015 Автор Share Опубликовано 22 июля, 2015 Готово Addition.txt FRST.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 22 июля, 2015 Share Опубликовано 22 июля, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected <======= ATTENTION GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=11482a754a67907e0b224732055a4fbb&text= <==== ATTENTION FF Plugin: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File FF Plugin-x32: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File FF Plugin HKU\S-1-5-21-602110317-4207027612-2498852024-1000: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File 2015-06-23 20:14 - 2015-06-23 20:14 - 03932214 _____ C:\Users\Пользователь\AppData\Roaming\4FE073B64FE073B6.bmp 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README9.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README8.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README7.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README6.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README5.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README4.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README3.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README2.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README10.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README1.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README9.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README8.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README7.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README6.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README5.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README4.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README3.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README2.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README10.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README1.txt 2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README9.txt 2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README8.txt 2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README7.txt 2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README6.txt 2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README5.txt 2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README4.txt 2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README3.txt 2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README2.txt 2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README10.txt 2015-06-23 18:21 - 2015-07-22 11:05 - 00000000 ____D C:\Program Files (x86)\Napnut 2015-06-23 18:21 - 2015-07-12 14:34 - 00000000 __SHD C:\Users\Все пользователи\Windows 2015-06-23 18:21 - 2015-07-12 14:34 - 00000000 __SHD C:\ProgramData\Windows 2014-10-12 21:19 - 2014-10-23 23:48 - 0000476 _____ () C:\Users\Пользователь\AppData\Roaming\del.bat 2014-09-01 14:18 - 2014-09-01 14:18 - 0001248 _____ () C:\Users\Пользователь\AppData\Roaming\GAJDJK 2014-09-01 14:18 - 2014-09-01 14:18 - 0002086 _____ () C:\Users\Пользователь\AppData\Roaming\KO 2014-10-22 22:04 - 2014-10-22 22:04 - 0627648 _____ (CMI Limited) C:\Users\Пользователь\AppData\Local\nsb5EC5.tmp 2014-10-22 22:26 - 2014-10-22 22:26 - 0612212 _____ (CMI Limited) C:\Users\Пользователь\AppData\Local\nso9BD4.tmp C:\Users\Пользователь\AppData\Local\Temp\adblocker.exe C:\Users\Пользователь\AppData\Local\Temp\AmigoDistrib.exe C:\Users\Пользователь\AppData\Local\Temp\amigo_setup.exe C:\Users\Пользователь\AppData\Local\Temp\dufgmr4c.exe C:\Users\Пользователь\AppData\Local\Temp\HNku6.exe C:\Users\Пользователь\AppData\Local\Temp\iqpUMJaGIX6f.exe C:\Users\Пользователь\AppData\Local\Temp\JeYzSZIAD2cl.exe C:\Users\Пользователь\AppData\Local\Temp\LPKMr3Kr7yDU.exe C:\Users\Пользователь\AppData\Local\Temp\MailRuUpdater.exe C:\Users\Пользователь\AppData\Local\Temp\nXgzSDM1vifC.exe C:\Users\Пользователь\AppData\Local\Temp\oB46PlMPNqm6.exe C:\Users\Пользователь\AppData\Local\Temp\soiygu3.exe C:\Users\Пользователь\AppData\Local\Temp\vOyif0DLdtmQ.exe Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Yuri Dugin Опубликовано 22 июля, 2015 Автор Share Опубликовано 22 июля, 2015 Лог Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти