Yuri Dugin Опубликовано 12 июля, 2015 Опубликовано 12 июля, 2015 (изменено) Здравствуйте! Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: D422B7A51CCFF90D24B2|0 на электронный адрес files1147@gmail.com или post100023@gmail.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. CollectionLog-2015.07.12-11.35.zip Изменено 12 июля, 2015 пользователем Yuri Dugin
thyrex Опубликовано 12 июля, 2015 Опубликовано 12 июля, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Пользователь\AppData\Local\Microsoft\Extensions\safebrowser.exe',''); QuarantineFile('C:\Program Files (x86)\Common Files\Install Manager\Install Manager.exe',''); QuarantineFile('C:\Users\Пользователь\AppData\Roaming\BI_982505917\BI_982505917.bat',''); DelBHO('{68261aaa-dc9f-4c2b-a168-c323e304c3a2}'); QuarantineFile('C:\Program Files (x86)\snipsmart\snipsmartbho.dll',''); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Users\Пользователь\AppData\Roaming\update_mjoahfjnfmhgjiioedjkbclgkcjcbjef\plinst.exe',''); QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.resworb.bat',''); QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.resworb-mooronik.bat',''); QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.erolpxei.bat',''); QuarantineFile('C:\Users\Пользователь\AppData\Local\screentk\screentool.exe',''); QuarantineFile('C:\Users\Пользователь\AppData\Local\Yandex\browser.bat',''); QuarantineFile('C:\ProgramData\Schedule\timetasks.exe',''); QuarantineFile('C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.1380\jsdrv.exe',''); DeleteService('QMUdisk'); QuarantineFile('C:\Windows\SysWOW64\lnsecsl.exe',''); QuarantineFile('C:\Users\Пользователь\AppData\Roaming\VOPackage\nsk2123.tmpfs',''); DeleteService('Util snipsmart'); DeleteService('lyzuvexo'); DeleteService('Adobe Licensing Console'); QuarantineFile('C:\Program Files (x86)\snipsmart\bin\utilsnipsmart.exe',''); TerminateProcessByName('c:\users\Пользователь\appdata\local\mediaget2\mediaget.exe'); TerminateProcessByName('c:\program files (x86)\napnut\nezavisimo\krip.exe'); QuarantineFile('c:\program files (x86)\napnut\nezavisimo\krip.exe',''); TerminateProcessByName('c:\programdata\windows\csrss.exe'); QuarantineFile('c:\programdata\windows\csrss.exe',''); DeleteFile('c:\programdata\windows\csrss.exe','32'); DeleteFile('c:\program files (x86)\napnut\nezavisimo\krip.exe','32'); DeleteFile('c:\users\Пользователь\appdata\local\mediaget2\mediaget.exe','32'); DeleteFile('C:\Program Files (x86)\snipsmart\bin\utilsnipsmart.exe','32'); DeleteFile('C:\Users\Пользователь\AppData\Roaming\VOPackage\nsk2123.tmpfs','32'); DeleteFile('C:\Windows\SysWOW64\lnsecsl.exe','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.5.15816.217\QMUdisk64.sys','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Nezavisimo'); DeleteFile('C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.1380\jsdrv.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SPDriver','command'); DeleteFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader','command'); DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); DeleteFile('C:\Users\Пользователь\AppData\Local\ConvertAd\ConvertAd.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ConvertAd','command'); DeleteFile('C:\Users\Пользователь\AppData\Local\MediaGet2\mediaget.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaGet2'); DeleteFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\system.vbs','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SystemScript','command'); DeleteFile('C:\Users\Пользователь\AppData\Local\PriceFountain\pricefountainw.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pricefountainw.exe','command'); DeleteFile('C:\Users\Пользователь\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\Users\Пользователь\AppData\Local\screentk\screentool.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\screentk','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegid','command'); DeleteFile('C:\Users\Пользователь\AppData\Local\storegid\storegid.exe','32'); DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.erolpxei.bat','32'); DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.resworb-mooronik.bat','32'); DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.resworb.bat','32'); DeleteFile('C:\Users\Пользователь\AppData\Roaming\update_mjoahfjnfmhgjiioedjkbclgkcjcbjef\plinst.exe','32'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Program Files (x86)\snipsmart\snipsmartbho.dll','32'); DeleteFile('C:\Windows\Tasks\BI_982505917.job','64'); DeleteFile('C:\Windows\Tasks\GAJDJK.job','64'); DeleteFile('C:\Windows\Tasks\KO.job','64'); DeleteFile('C:\Windows\system32\Tasks\appdistrib','64'); DeleteFile('C:\Windows\system32\Tasks\BI_982505917','64'); DeleteFile('C:\Users\Пользователь\AppData\Local\Microsoft\Extensions\safebrowser.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи
Yuri Dugin Опубликовано 18 июля, 2015 Автор Опубликовано 18 июля, 2015 Шифроватор логи [KLAN-2982479016] Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru" Где взять Check_Browsers_LNK.log ?
Yuri Dugin Опубликовано 18 июля, 2015 Автор Опубликовано 18 июля, 2015 Логи ClearLNK-18.07.2015_17-11.log
thyrex Опубликовано 18 июля, 2015 Опубликовано 18 июля, 2015 Вам на каждый невыполненный шаг указывать? Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи
Yuri Dugin Опубликовано 18 июля, 2015 Автор Опубликовано 18 июля, 2015 Логи CollectionLog-2015.07.18-18.50.zip
thyrex Опубликовано 21 июля, 2015 Опубликовано 21 июля, 2015 Удалите в МВАМ все, кроме PUP.Optional.LoadMoney, C:\Users\Пользователь\Downloads\diablo 2 - grozdya gneva diablo 2 - grapes of wrath.exe, , [abbb23c1800a38fef563a996d12fad53], PUP.Optional.LoadMoney, C:\Users\Пользователь\Downloads\diablo 2 - grozdya gneva diablo 2 - grapes of wrath (1).exe, , [a7bfc1237119171fd6826ed146baa060], PUP.Optional.BundleInstaller.A, C:\Users\Пользователь\Downloads\skachat_torrent_diablo_2_grozd_ya_gneva2006_rus.exe, , [184ee9fbdbafb97dbe79a9c159ace11f], PUP.Optional.LoadMoney, C:\Users\Пользователь\Downloads\diablo2 tfile ru.exe, , [74f27e668cfe56e03e1a3c03f7098c74], Trojan.FakeMS, C:\Users\Пользователь\Downloads\torrent.exe, , [d98d2bb9b4d65ed86e73272234cd9d63],
thyrex Опубликовано 22 июля, 2015 Опубликовано 22 июля, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
thyrex Опубликовано 22 июля, 2015 Опубликовано 22 июля, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected <======= ATTENTION GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=11482a754a67907e0b224732055a4fbb&text= <==== ATTENTION FF Plugin: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File FF Plugin-x32: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File FF Plugin HKU\S-1-5-21-602110317-4207027612-2498852024-1000: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File 2015-06-23 20:14 - 2015-06-23 20:14 - 03932214 _____ C:\Users\Пользователь\AppData\Roaming\4FE073B64FE073B6.bmp 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README9.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README8.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README7.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README6.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README5.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README4.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README3.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README2.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README10.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Пользователь\Desktop\README1.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README9.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README8.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README7.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README6.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README5.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README4.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README3.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README2.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README10.txt 2015-06-23 20:04 - 2015-06-23 20:04 - 00000893 _____ C:\Users\Public\Desktop\README1.txt 2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README9.txt 2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README8.txt 2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README7.txt 2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README6.txt 2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README5.txt 2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README4.txt 2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README3.txt 2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README2.txt 2015-06-23 18:23 - 2015-06-23 18:23 - 00000893 _____ C:\README10.txt 2015-06-23 18:21 - 2015-07-22 11:05 - 00000000 ____D C:\Program Files (x86)\Napnut 2015-06-23 18:21 - 2015-07-12 14:34 - 00000000 __SHD C:\Users\Все пользователи\Windows 2015-06-23 18:21 - 2015-07-12 14:34 - 00000000 __SHD C:\ProgramData\Windows 2014-10-12 21:19 - 2014-10-23 23:48 - 0000476 _____ () C:\Users\Пользователь\AppData\Roaming\del.bat 2014-09-01 14:18 - 2014-09-01 14:18 - 0001248 _____ () C:\Users\Пользователь\AppData\Roaming\GAJDJK 2014-09-01 14:18 - 2014-09-01 14:18 - 0002086 _____ () C:\Users\Пользователь\AppData\Roaming\KO 2014-10-22 22:04 - 2014-10-22 22:04 - 0627648 _____ (CMI Limited) C:\Users\Пользователь\AppData\Local\nsb5EC5.tmp 2014-10-22 22:26 - 2014-10-22 22:26 - 0612212 _____ (CMI Limited) C:\Users\Пользователь\AppData\Local\nso9BD4.tmp C:\Users\Пользователь\AppData\Local\Temp\adblocker.exe C:\Users\Пользователь\AppData\Local\Temp\AmigoDistrib.exe C:\Users\Пользователь\AppData\Local\Temp\amigo_setup.exe C:\Users\Пользователь\AppData\Local\Temp\dufgmr4c.exe C:\Users\Пользователь\AppData\Local\Temp\HNku6.exe C:\Users\Пользователь\AppData\Local\Temp\iqpUMJaGIX6f.exe C:\Users\Пользователь\AppData\Local\Temp\JeYzSZIAD2cl.exe C:\Users\Пользователь\AppData\Local\Temp\LPKMr3Kr7yDU.exe C:\Users\Пользователь\AppData\Local\Temp\MailRuUpdater.exe C:\Users\Пользователь\AppData\Local\Temp\nXgzSDM1vifC.exe C:\Users\Пользователь\AppData\Local\Temp\oB46PlMPNqm6.exe C:\Users\Пользователь\AppData\Local\Temp\soiygu3.exe C:\Users\Пользователь\AppData\Local\Temp\vOyif0DLdtmQ.exe Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти