Перейти к содержанию

Зашифрованы все файлы


Рекомендуемые сообщения

Здравствуйте!

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

D422B7A51CCFF90D24B2|0

на электронный адрес files1147@gmail.com или post100023@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

CollectionLog-2015.07.12-11.35.zip

Изменено пользователем Yuri Dugin
Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Пользователь\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
QuarantineFile('C:\Program Files (x86)\Common Files\Install Manager\Install Manager.exe','');
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\BI_982505917\BI_982505917.bat','');
DelBHO('{68261aaa-dc9f-4c2b-a168-c323e304c3a2}');
QuarantineFile('C:\Program Files (x86)\snipsmart\snipsmartbho.dll','');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\update_mjoahfjnfmhgjiioedjkbclgkcjcbjef\plinst.exe','');
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.resworb.bat','');
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.resworb-mooronik.bat','');
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\Пользователь\AppData\Local\screentk\screentool.exe','');
QuarantineFile('C:\Users\Пользователь\AppData\Local\Yandex\browser.bat','');
QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
QuarantineFile('C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.1380\jsdrv.exe','');
DeleteService('QMUdisk');
QuarantineFile('C:\Windows\SysWOW64\lnsecsl.exe','');
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\VOPackage\nsk2123.tmpfs','');
DeleteService('Util snipsmart');
DeleteService('lyzuvexo');
DeleteService('Adobe Licensing Console');
QuarantineFile('C:\Program Files (x86)\snipsmart\bin\utilsnipsmart.exe','');
TerminateProcessByName('c:\users\Пользователь\appdata\local\mediaget2\mediaget.exe');
TerminateProcessByName('c:\program files (x86)\napnut\nezavisimo\krip.exe');
QuarantineFile('c:\program files (x86)\napnut\nezavisimo\krip.exe','');
TerminateProcessByName('c:\programdata\windows\csrss.exe');
QuarantineFile('c:\programdata\windows\csrss.exe','');
DeleteFile('c:\programdata\windows\csrss.exe','32');
DeleteFile('c:\program files (x86)\napnut\nezavisimo\krip.exe','32');
DeleteFile('c:\users\Пользователь\appdata\local\mediaget2\mediaget.exe','32');
DeleteFile('C:\Program Files (x86)\snipsmart\bin\utilsnipsmart.exe','32');
DeleteFile('C:\Users\Пользователь\AppData\Roaming\VOPackage\nsk2123.tmpfs','32');
DeleteFile('C:\Windows\SysWOW64\lnsecsl.exe','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.5.15816.217\QMUdisk64.sys','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Nezavisimo');
DeleteFile('C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.1380\jsdrv.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SPDriver','command');
DeleteFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader','command');
DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
DeleteFile('C:\Users\Пользователь\AppData\Local\ConvertAd\ConvertAd.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ConvertAd','command');
DeleteFile('C:\Users\Пользователь\AppData\Local\MediaGet2\mediaget.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaGet2');
DeleteFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\system.vbs','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SystemScript','command');
DeleteFile('C:\Users\Пользователь\AppData\Local\PriceFountain\pricefountainw.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pricefountainw.exe','command');
DeleteFile('C:\Users\Пользователь\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\Users\Пользователь\AppData\Local\screentk\screentool.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\screentk','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegid','command');
DeleteFile('C:\Users\Пользователь\AppData\Local\storegid\storegid.exe','32');
DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.resworb-mooronik.bat','32');
DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.resworb.bat','32');
DeleteFile('C:\Users\Пользователь\AppData\Roaming\update_mjoahfjnfmhgjiioedjkbclgkcjcbjef\plinst.exe','32');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Program Files (x86)\snipsmart\snipsmartbho.dll','32');
DeleteFile('C:\Windows\Tasks\BI_982505917.job','64');
DeleteFile('C:\Windows\Tasks\GAJDJK.job','64');
DeleteFile('C:\Windows\Tasks\KO.job','64');
DeleteFile('C:\Windows\system32\Tasks\appdistrib','64');
DeleteFile('C:\Windows\system32\Tasks\BI_982505917','64');
DeleteFile('C:\Users\Пользователь\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Шифроватор логи [KLAN-2982479016]
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.    

В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700   http://www.kaspersky.ru http://www.viruslist.ru"
 
 
Где взять Check_Browsers_LNK.log ?
Ссылка на комментарий
Поделиться на другие сайты

Удалите в МВАМ все, кроме

PUP.Optional.LoadMoney, C:\Users\Пользователь\Downloads\diablo 2 - grozdya gneva diablo 2 - grapes of wrath.exe, , [abbb23c1800a38fef563a996d12fad53], 
PUP.Optional.LoadMoney, C:\Users\Пользователь\Downloads\diablo 2 - grozdya gneva diablo 2 - grapes of wrath (1).exe, , [a7bfc1237119171fd6826ed146baa060], 
PUP.Optional.BundleInstaller.A, C:\Users\Пользователь\Downloads\skachat_torrent_diablo_2_grozd_ya_gneva2006_rus.exe, , [184ee9fbdbafb97dbe79a9c159ace11f], 
PUP.Optional.LoadMoney, C:\Users\Пользователь\Downloads\diablo2 tfile ru.exe, , [74f27e668cfe56e03e1a3c03f7098c74], 
Trojan.FakeMS, C:\Users\Пользователь\Downloads\torrent.exe, , [d98d2bb9b4d65ed86e73272234cd9d63], 
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=11482a754a67907e0b224732055a4fbb&text= <==== ATTENTION
FF Plugin: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File
FF Plugin-x32: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File
FF Plugin HKU\S-1-5-21-602110317-4207027612-2498852024-1000: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File
2015-06-23 20:14 - 2015-06-23 20:14 - 03932214 _____ C:\Users\Пользователь\AppData\Roaming\4FE073B64FE073B6.bmp
2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README9.txt
2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README8.txt
2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README7.txt
2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README6.txt
2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README5.txt
2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README4.txt
2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README3.txt
2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README2.txt
2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README10.txt
2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README1.txt
2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README9.txt
2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README8.txt
2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README7.txt
2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README6.txt
2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README5.txt
2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README4.txt
2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README3.txt
2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README2.txt
2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README10.txt
2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README1.txt
2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README9.txt
2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README8.txt
2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README7.txt
2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README6.txt
2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README5.txt
2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README4.txt
2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README3.txt
2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README2.txt
2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README10.txt
2015-06-23 18:21 - 2015-07-22 11:05 - 00000000 ____D C:\Program Files (x86)\Napnut
2015-06-23 18:21 - 2015-07-12 14:34 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-06-23 18:21 - 2015-07-12 14:34 - 00000000 __SHD C:\ProgramData\Windows
2014-10-12 21:19 - 2014-10-23 23:48 - 0000476 _____ () C:\Users\Пользователь\AppData\Roaming\del.bat
2014-09-01 14:18 - 2014-09-01 14:18 - 0001248 _____ () C:\Users\Пользователь\AppData\Roaming\GAJDJK
2014-09-01 14:18 - 2014-09-01 14:18 - 0002086 _____ () C:\Users\Пользователь\AppData\Roaming\KO
2014-10-22 22:04 - 2014-10-22 22:04 - 0627648 _____ (CMI Limited) C:\Users\Пользователь\AppData\Local\nsb5EC5.tmp
2014-10-22 22:26 - 2014-10-22 22:26 - 0612212 _____ (CMI Limited) C:\Users\Пользователь\AppData\Local\nso9BD4.tmp
C:\Users\Пользователь\AppData\Local\Temp\adblocker.exe
C:\Users\Пользователь\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\Пользователь\AppData\Local\Temp\amigo_setup.exe
C:\Users\Пользователь\AppData\Local\Temp\dufgmr4c.exe
C:\Users\Пользователь\AppData\Local\Temp\HNku6.exe
C:\Users\Пользователь\AppData\Local\Temp\iqpUMJaGIX6f.exe
C:\Users\Пользователь\AppData\Local\Temp\JeYzSZIAD2cl.exe
C:\Users\Пользователь\AppData\Local\Temp\LPKMr3Kr7yDU.exe
C:\Users\Пользователь\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\Пользователь\AppData\Local\Temp\nXgzSDM1vifC.exe
C:\Users\Пользователь\AppData\Local\Temp\oB46PlMPNqm6.exe
C:\Users\Пользователь\AppData\Local\Temp\soiygu3.exe
C:\Users\Пользователь\AppData\Local\Temp\vOyif0DLdtmQ.exe
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...