Александр Баханков 0 Опубликовано 12 июля, 2015 Share Опубликовано 12 июля, 2015 Здравствуйте!!! Вирус-шифровщик зашифровал почти все файлы в xtbl,на рабочем столе было 10 текстовых файлов с таким содержанием: Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: DCD6F9F82538E79132DD|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. CollectionLog-2015.07.12-16.01.zip report1.log report2.log Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 12 июля, 2015 Share Опубликовано 12 июля, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); QuarantineFile('C:\Users\Кисюха\AppData\Local\Yandex\browser.bat',''); DeleteService('TS888x64'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16065.215\QMUdisk64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16065.215\TS888x64.sys','32'); DeleteFile('C:\Users\Кисюха\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Users\Кисюха\AppData\Roaming\mystartsearch\UninstallManager.exe','32'); DeleteFile('C:\Windows\system32\Tasks\{1C755854-E36A-4C9B-BA3B-500BB3E5425B}','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи Цитата Ссылка на сообщение Поделиться на другие сайты
Александр Баханков 0 Опубликовано 12 июля, 2015 Автор Share Опубликовано 12 июля, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); QuarantineFile('C:\Users\Кисюха\AppData\Local\Yandex\browser.bat',''); DeleteService('TS888x64'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16065.215\QMUdisk64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16065.215\TS888x64.sys','32'); DeleteFile('C:\Users\Кисюха\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Users\Кисюха\AppData\Roaming\mystartsearch\UninstallManager.exe','32'); DeleteFile('C:\Windows\system32\Tasks\{1C755854-E36A-4C9B-BA3B-500BB3E5425B}','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи KLAN-2964519791 ClearLNK-12.07.2015_17-06.log CollectionLog-2015.07.12-17.16.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 12 июля, 2015 Share Опубликовано 12 июля, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Александр Баханков 0 Опубликовано 12 июля, 2015 Автор Share Опубликовано 12 июля, 2015 Вот еще забыл. FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 12 июля, 2015 Share Опубликовано 12 июля, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: GroupPolicyUsers\S-1-5-21-3363947676-2509214028-1096842573-1001\User: Group Policy Restriction detected <======= ATTENTION BHO-x32: °®ЖжТХЦъКЦ -> {FB4F6285-4C32-49F2-950F-A5998F9CEC6C} -> No File Toolbar: HKU\S-1-5-21-3363947676-2509214028-1096842573-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF Plugin: @iqiyi.com/npclient -> D:\IQIYI Video\LStyle\npclient.dll No File FF Plugin: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll No File FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1216156.dll No File 2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README9.txt 2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README5.txt 2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README4.txt 2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README3.txt 2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README2.txt 2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README10.txt 2015-07-07 20:18 - 2015-07-07 20:18 - 03148854 _____ C:\Users\Кисюха\AppData\Roaming\B5D0772EB5D0772E.bmp 2015-07-06 21:55 - 2015-07-08 01:38 - 00000000 __SHD C:\Users\Все пользователи\Windows 2015-07-06 21:55 - 2015-07-08 01:38 - 00000000 __SHD C:\ProgramData\Windows 2015-07-08 01:51 - 2015-03-17 17:27 - 00000000 ____D C:\Users\Кисюха\AppData\Roaming\294AFF51-1426602434-E111-99CD-B888E35E99FF 2015-07-08 01:40 - 2015-03-17 17:32 - 00000000 ____D C:\Users\Кисюха\AppData\Local\294AFF51-1426613534-E111-99CD-B888E35E99FF 2015-07-08 01:40 - 2015-03-17 17:31 - 00000000 ____D C:\Users\Кисюха\AppData\Local\294AFF51-1426613516-E111-99CD-B888E35E99FF 2015-07-08 01:40 - 2015-03-17 17:29 - 00000000 ____D C:\Users\Кисюха\AppData\Local\294AFF51-1426613352-E111-99CD-B888E35E99FF 2015-05-15 20:58 - 2015-04-07 15:17 - 0200992 ____H (Яндекс) C:\Users\Кисюха\AppData\Roaming\YаndехDiskStаrtеr.bаt.exe 2015-05-15 20:58 - 2015-04-07 15:17 - 3989280 ____H (Яндекс) C:\Users\Кисюха\AppData\Roaming\YаndехDiskSсrееnshоtЕditоr.bаt.exe Task: {847624F6-BDE7-402A-8400-2079295A646F} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe [2014-11-13] (MyPC Backup) <==== ATTENTION Task: {BD7BDDD5-6592-435D-9C58-4FC97F004C4B} - System32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6 => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6.exe [2015-06-10] (Cinema PlusV09.06) <==== ATTENTION Task: {BFA594DE-AB67-4455-9202-5D1638F349EC} - System32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-7 => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-7.exe [2015-06-10] (Cinema PlusV09.06) <==== ATTENTION Task: {DD4033F2-126D-4067-B630-70C128672AFB} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Вадим\AppData\Local\SmartWeb\SmartWebHelper.exe [2015-02-17] (SoftBrain Technologies Ltd.) <==== ATTENTION Task: {FADFDDEE-595B-4280-8608-CDB98A9FFB04} - System32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5 => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-5.exe [2015-06-10] (Cinema PlusV09.06) <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-7.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-7.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-10_user.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-10.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-11.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-11.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-3.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-3.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-5.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5_user.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-5.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-6.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-6.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-7.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-7.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\EBjPYBvIDD5g.job => C:\Users\эяэяэяэяэя\AppData\Roaming\EBjPYBvIDD5g.exe <==== ATTENTION Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
Александр Баханков 0 Опубликовано 12 июля, 2015 Автор Share Опубликовано 12 июля, 2015 Все сделал как Вы сказали,только компьютер не перезагрузился.... Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 12 июля, 2015 Share Опубликовано 12 июля, 2015 С расшифровкой не поможем Цитата Ссылка на сообщение Поделиться на другие сайты
Александр Баханков 0 Опубликовано 12 июля, 2015 Автор Share Опубликовано 12 июля, 2015 Повторил еще раз,перезагрузился.... Что можно еще попробовать?,посоветуйте пожалуйста.. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 12 июля, 2015 Share Опубликовано 12 июля, 2015 Восстановить из теневых копий, например Цитата Ссылка на сообщение Поделиться на другие сайты
Александр Баханков 0 Опубликовано 12 июля, 2015 Автор Share Опубликовано 12 июля, 2015 Восстановить из теневых копий, например Первый раз слышу,как это можно сделать? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 12 июля, 2015 Share Опубликовано 12 июля, 2015 http://virusinfo.info/showthread.php?t=156188 (тему на Вирусинфо создавать не нужно) Цитата Ссылка на сообщение Поделиться на другие сайты
Александр Баханков 0 Опубликовано 13 июля, 2015 Автор Share Опубликовано 13 июля, 2015 http://virusinfo.info/showthread.php?t=156188 (тему на Вирусинфо создавать не нужно) А если было отключено восстановление системы и нет теневые копии Windows? Что можно еще попробовать? Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 13 июля, 2015 Share Опубликовано 13 июля, 2015 А если было отключено, то такой номер не пройдет в вашем случае. По расшифровке: При наличии коммерческой лицензии на любой из продуктов Антивируса Касперского обратитесь за помощью в техническую поддержку Лаборатории Касперского через личный кабинет. Цитата Ссылка на сообщение Поделиться на другие сайты
Александр Баханков 0 Опубликовано 13 июля, 2015 Автор Share Опубликовано 13 июля, 2015 А если было отключено, то такой номер не пройдет в вашем случае. По расшифровке: При наличии коммерческой лицензии на любой из продуктов Антивируса Касперского обратитесь за помощью в техническую поддержку Лаборатории Касперского через личный кабинет. А если нет коммерческой лицензии на любой из продуктов Антивируса Касперского? Мне не помогут? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.