Александр Баханков Опубликовано 12 июля, 2015 Опубликовано 12 июля, 2015 Здравствуйте!!! Вирус-шифровщик зашифровал почти все файлы в xtbl,на рабочем столе было 10 текстовых файлов с таким содержанием: Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: DCD6F9F82538E79132DD|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. CollectionLog-2015.07.12-16.01.zip report1.log report2.log
thyrex Опубликовано 12 июля, 2015 Опубликовано 12 июля, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); QuarantineFile('C:\Users\Кисюха\AppData\Local\Yandex\browser.bat',''); DeleteService('TS888x64'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16065.215\QMUdisk64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16065.215\TS888x64.sys','32'); DeleteFile('C:\Users\Кисюха\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Users\Кисюха\AppData\Roaming\mystartsearch\UninstallManager.exe','32'); DeleteFile('C:\Windows\system32\Tasks\{1C755854-E36A-4C9B-BA3B-500BB3E5425B}','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Александр Баханков Опубликовано 12 июля, 2015 Автор Опубликовано 12 июля, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); QuarantineFile('C:\Users\Кисюха\AppData\Local\Yandex\browser.bat',''); DeleteService('TS888x64'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16065.215\QMUdisk64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16065.215\TS888x64.sys','32'); DeleteFile('C:\Users\Кисюха\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Users\Кисюха\AppData\Roaming\mystartsearch\UninstallManager.exe','32'); DeleteFile('C:\Windows\system32\Tasks\{1C755854-E36A-4C9B-BA3B-500BB3E5425B}','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи KLAN-2964519791 ClearLNK-12.07.2015_17-06.log CollectionLog-2015.07.12-17.16.zip
thyrex Опубликовано 12 июля, 2015 Опубликовано 12 июля, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Александр Баханков Опубликовано 12 июля, 2015 Автор Опубликовано 12 июля, 2015 Вот еще забыл. FRST.txt Addition.txt
thyrex Опубликовано 12 июля, 2015 Опубликовано 12 июля, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: GroupPolicyUsers\S-1-5-21-3363947676-2509214028-1096842573-1001\User: Group Policy Restriction detected <======= ATTENTION BHO-x32: °®ЖжТХЦъКЦ -> {FB4F6285-4C32-49F2-950F-A5998F9CEC6C} -> No File Toolbar: HKU\S-1-5-21-3363947676-2509214028-1096842573-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF Plugin: @iqiyi.com/npclient -> D:\IQIYI Video\LStyle\npclient.dll No File FF Plugin: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll No File FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1216156.dll No File 2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README9.txt 2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README5.txt 2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README4.txt 2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README3.txt 2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README2.txt 2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README10.txt 2015-07-07 20:18 - 2015-07-07 20:18 - 03148854 _____ C:\Users\Кисюха\AppData\Roaming\B5D0772EB5D0772E.bmp 2015-07-06 21:55 - 2015-07-08 01:38 - 00000000 __SHD C:\Users\Все пользователи\Windows 2015-07-06 21:55 - 2015-07-08 01:38 - 00000000 __SHD C:\ProgramData\Windows 2015-07-08 01:51 - 2015-03-17 17:27 - 00000000 ____D C:\Users\Кисюха\AppData\Roaming\294AFF51-1426602434-E111-99CD-B888E35E99FF 2015-07-08 01:40 - 2015-03-17 17:32 - 00000000 ____D C:\Users\Кисюха\AppData\Local\294AFF51-1426613534-E111-99CD-B888E35E99FF 2015-07-08 01:40 - 2015-03-17 17:31 - 00000000 ____D C:\Users\Кисюха\AppData\Local\294AFF51-1426613516-E111-99CD-B888E35E99FF 2015-07-08 01:40 - 2015-03-17 17:29 - 00000000 ____D C:\Users\Кисюха\AppData\Local\294AFF51-1426613352-E111-99CD-B888E35E99FF 2015-05-15 20:58 - 2015-04-07 15:17 - 0200992 ____H (Яндекс) C:\Users\Кисюха\AppData\Roaming\YаndехDiskStаrtеr.bаt.exe 2015-05-15 20:58 - 2015-04-07 15:17 - 3989280 ____H (Яндекс) C:\Users\Кисюха\AppData\Roaming\YаndехDiskSсrееnshоtЕditоr.bаt.exe Task: {847624F6-BDE7-402A-8400-2079295A646F} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe [2014-11-13] (MyPC Backup) <==== ATTENTION Task: {BD7BDDD5-6592-435D-9C58-4FC97F004C4B} - System32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6 => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6.exe [2015-06-10] (Cinema PlusV09.06) <==== ATTENTION Task: {BFA594DE-AB67-4455-9202-5D1638F349EC} - System32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-7 => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-7.exe [2015-06-10] (Cinema PlusV09.06) <==== ATTENTION Task: {DD4033F2-126D-4067-B630-70C128672AFB} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Вадим\AppData\Local\SmartWeb\SmartWebHelper.exe [2015-02-17] (SoftBrain Technologies Ltd.) <==== ATTENTION Task: {FADFDDEE-595B-4280-8608-CDB98A9FFB04} - System32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5 => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-5.exe [2015-06-10] (Cinema PlusV09.06) <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-7.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-7.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-10_user.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-10.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-11.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-11.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-3.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-3.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-5.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5_user.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-5.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-6.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-6.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-7.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-7.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\EBjPYBvIDD5g.job => C:\Users\эяэяэяэяэя\AppData\Roaming\EBjPYBvIDD5g.exe <==== ATTENTION Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
Александр Баханков Опубликовано 12 июля, 2015 Автор Опубликовано 12 июля, 2015 Все сделал как Вы сказали,только компьютер не перезагрузился.... Fixlog.txt
Александр Баханков Опубликовано 12 июля, 2015 Автор Опубликовано 12 июля, 2015 Повторил еще раз,перезагрузился.... Что можно еще попробовать?,посоветуйте пожалуйста..
Александр Баханков Опубликовано 12 июля, 2015 Автор Опубликовано 12 июля, 2015 Восстановить из теневых копий, например Первый раз слышу,как это можно сделать?
thyrex Опубликовано 12 июля, 2015 Опубликовано 12 июля, 2015 http://virusinfo.info/showthread.php?t=156188 (тему на Вирусинфо создавать не нужно)
Александр Баханков Опубликовано 13 июля, 2015 Автор Опубликовано 13 июля, 2015 http://virusinfo.info/showthread.php?t=156188 (тему на Вирусинфо создавать не нужно) А если было отключено восстановление системы и нет теневые копии Windows? Что можно еще попробовать?
mike 1 Опубликовано 13 июля, 2015 Опубликовано 13 июля, 2015 А если было отключено, то такой номер не пройдет в вашем случае. По расшифровке: При наличии коммерческой лицензии на любой из продуктов Антивируса Касперского обратитесь за помощью в техническую поддержку Лаборатории Касперского через личный кабинет.
Александр Баханков Опубликовано 13 июля, 2015 Автор Опубликовано 13 июля, 2015 А если было отключено, то такой номер не пройдет в вашем случае. По расшифровке: При наличии коммерческой лицензии на любой из продуктов Антивируса Касперского обратитесь за помощью в техническую поддержку Лаборатории Касперского через личный кабинет. А если нет коммерческой лицензии на любой из продуктов Антивируса Касперского? Мне не помогут?
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти