Александр Баханков Опубликовано 12 июля, 2015 Share Опубликовано 12 июля, 2015 Здравствуйте!!! Вирус-шифровщик зашифровал почти все файлы в xtbl,на рабочем столе было 10 текстовых файлов с таким содержанием: Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: DCD6F9F82538E79132DD|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. CollectionLog-2015.07.12-16.01.zip report1.log report2.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 12 июля, 2015 Share Опубликовано 12 июля, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); QuarantineFile('C:\Users\Кисюха\AppData\Local\Yandex\browser.bat',''); DeleteService('TS888x64'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16065.215\QMUdisk64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16065.215\TS888x64.sys','32'); DeleteFile('C:\Users\Кисюха\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Users\Кисюха\AppData\Roaming\mystartsearch\UninstallManager.exe','32'); DeleteFile('C:\Windows\system32\Tasks\{1C755854-E36A-4C9B-BA3B-500BB3E5425B}','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи Ссылка на комментарий Поделиться на другие сайты More sharing options...
Александр Баханков Опубликовано 12 июля, 2015 Автор Share Опубликовано 12 июля, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); QuarantineFile('C:\Users\Кисюха\AppData\Local\Yandex\browser.bat',''); DeleteService('TS888x64'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16065.215\QMUdisk64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16065.215\TS888x64.sys','32'); DeleteFile('C:\Users\Кисюха\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Users\Кисюха\AppData\Roaming\mystartsearch\UninstallManager.exe','32'); DeleteFile('C:\Windows\system32\Tasks\{1C755854-E36A-4C9B-BA3B-500BB3E5425B}','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи KLAN-2964519791 ClearLNK-12.07.2015_17-06.log CollectionLog-2015.07.12-17.16.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 12 июля, 2015 Share Опубликовано 12 июля, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Александр Баханков Опубликовано 12 июля, 2015 Автор Share Опубликовано 12 июля, 2015 Вот еще забыл. FRST.txt Addition.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 12 июля, 2015 Share Опубликовано 12 июля, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: GroupPolicyUsers\S-1-5-21-3363947676-2509214028-1096842573-1001\User: Group Policy Restriction detected <======= ATTENTION BHO-x32: °®ЖжТХЦъКЦ -> {FB4F6285-4C32-49F2-950F-A5998F9CEC6C} -> No File Toolbar: HKU\S-1-5-21-3363947676-2509214028-1096842573-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF Plugin: @iqiyi.com/npclient -> D:\IQIYI Video\LStyle\npclient.dll No File FF Plugin: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll No File FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1216156.dll No File 2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README9.txt 2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README5.txt 2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README4.txt 2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README3.txt 2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README2.txt 2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README10.txt 2015-07-07 20:18 - 2015-07-07 20:18 - 03148854 _____ C:\Users\Кисюха\AppData\Roaming\B5D0772EB5D0772E.bmp 2015-07-06 21:55 - 2015-07-08 01:38 - 00000000 __SHD C:\Users\Все пользователи\Windows 2015-07-06 21:55 - 2015-07-08 01:38 - 00000000 __SHD C:\ProgramData\Windows 2015-07-08 01:51 - 2015-03-17 17:27 - 00000000 ____D C:\Users\Кисюха\AppData\Roaming\294AFF51-1426602434-E111-99CD-B888E35E99FF 2015-07-08 01:40 - 2015-03-17 17:32 - 00000000 ____D C:\Users\Кисюха\AppData\Local\294AFF51-1426613534-E111-99CD-B888E35E99FF 2015-07-08 01:40 - 2015-03-17 17:31 - 00000000 ____D C:\Users\Кисюха\AppData\Local\294AFF51-1426613516-E111-99CD-B888E35E99FF 2015-07-08 01:40 - 2015-03-17 17:29 - 00000000 ____D C:\Users\Кисюха\AppData\Local\294AFF51-1426613352-E111-99CD-B888E35E99FF 2015-05-15 20:58 - 2015-04-07 15:17 - 0200992 ____H (Яндекс) C:\Users\Кисюха\AppData\Roaming\YаndехDiskStаrtеr.bаt.exe 2015-05-15 20:58 - 2015-04-07 15:17 - 3989280 ____H (Яндекс) C:\Users\Кисюха\AppData\Roaming\YаndехDiskSсrееnshоtЕditоr.bаt.exe Task: {847624F6-BDE7-402A-8400-2079295A646F} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe [2014-11-13] (MyPC Backup) <==== ATTENTION Task: {BD7BDDD5-6592-435D-9C58-4FC97F004C4B} - System32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6 => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6.exe [2015-06-10] (Cinema PlusV09.06) <==== ATTENTION Task: {BFA594DE-AB67-4455-9202-5D1638F349EC} - System32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-7 => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-7.exe [2015-06-10] (Cinema PlusV09.06) <==== ATTENTION Task: {DD4033F2-126D-4067-B630-70C128672AFB} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Вадим\AppData\Local\SmartWeb\SmartWebHelper.exe [2015-02-17] (SoftBrain Technologies Ltd.) <==== ATTENTION Task: {FADFDDEE-595B-4280-8608-CDB98A9FFB04} - System32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5 => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-5.exe [2015-06-10] (Cinema PlusV09.06) <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-7.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-7.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-10_user.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-10.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-11.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-11.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-3.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-3.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-5.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5_user.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-5.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-6.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-6.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-7.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-7.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\EBjPYBvIDD5g.job => C:\Users\эяэяэяэяэя\AppData\Roaming\EBjPYBvIDD5g.exe <==== ATTENTION Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Александр Баханков Опубликовано 12 июля, 2015 Автор Share Опубликовано 12 июля, 2015 Все сделал как Вы сказали,только компьютер не перезагрузился.... Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 12 июля, 2015 Share Опубликовано 12 июля, 2015 С расшифровкой не поможем Ссылка на комментарий Поделиться на другие сайты More sharing options...
Александр Баханков Опубликовано 12 июля, 2015 Автор Share Опубликовано 12 июля, 2015 Повторил еще раз,перезагрузился.... Что можно еще попробовать?,посоветуйте пожалуйста.. Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 12 июля, 2015 Share Опубликовано 12 июля, 2015 Восстановить из теневых копий, например Ссылка на комментарий Поделиться на другие сайты More sharing options...
Александр Баханков Опубликовано 12 июля, 2015 Автор Share Опубликовано 12 июля, 2015 Восстановить из теневых копий, например Первый раз слышу,как это можно сделать? Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 12 июля, 2015 Share Опубликовано 12 июля, 2015 http://virusinfo.info/showthread.php?t=156188 (тему на Вирусинфо создавать не нужно) Ссылка на комментарий Поделиться на другие сайты More sharing options...
Александр Баханков Опубликовано 13 июля, 2015 Автор Share Опубликовано 13 июля, 2015 http://virusinfo.info/showthread.php?t=156188 (тему на Вирусинфо создавать не нужно) А если было отключено восстановление системы и нет теневые копии Windows? Что можно еще попробовать? Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 13 июля, 2015 Share Опубликовано 13 июля, 2015 А если было отключено, то такой номер не пройдет в вашем случае. По расшифровке: При наличии коммерческой лицензии на любой из продуктов Антивируса Касперского обратитесь за помощью в техническую поддержку Лаборатории Касперского через личный кабинет. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Александр Баханков Опубликовано 13 июля, 2015 Автор Share Опубликовано 13 июля, 2015 А если было отключено, то такой номер не пройдет в вашем случае. По расшифровке: При наличии коммерческой лицензии на любой из продуктов Антивируса Касперского обратитесь за помощью в техническую поддержку Лаборатории Касперского через личный кабинет. А если нет коммерческой лицензии на любой из продуктов Антивируса Касперского? Мне не помогут? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти