Yad Опубликовано 13 июля, 2015 Share Опубликовано 13 июля, 2015 Добрый день, словил вирус, зашифрованы все фотки, просьба помочь! Вот сообщение: Ваши файлы были зашифрованы.Чтобы расшифровать их, Вам необходимо отправить код:C04211E62E536BAB8A10|0на электронный адрес decode010@gmail.com или decode1110@gmail.com .Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. CollectionLog-2015.07.13-11.47.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 13 июля, 2015 Share Опубликовано 13 июля, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\torrent search\basement\extensionupdaterservice.exe',''); QuarantineFile('C:\Users\Валентин\appdata\roaming\aspackage\aspackage.exe',''); QuarantineFile('C:\Windows\system32\Drivers\nethfdrv.sys',''); QuarantineFile('C:\Windows\system32\hfpapi.dll',''); QuarantineFile('C:\Program Files\Kinoroom Browser\kinoroom-browser.exe',''); QuarantineFile('C:\Program Files\BonanzaDeals\BonanzaDealsUpdate.exe',''); QuarantineFile('C:\Program Files\Torrent Search\OwGT7Xd.exe',''); QuarantineFile('C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe',''); QuarantineFile('C:\Users\Валентин\AppData\Local\25364\a1487.exe',''); DelBHO('{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}'); DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}'); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Users\Валентин\AppData\Local\storegid\storegid.exe',''); QuarantineFile('C:\Users\Валентин\AppData\Local\Yandex\browser.bat',''); QuarantineFile('C:\Program Files\Google\chrome.bat',''); DeleteService('storegidfilter'); QuarantineFile('C:\Windows\storegidfilter.sys',''); QuarantineFile('C:\Program Files\Torrent Search\IEEF\Interfaces32.dll',''); QuarantineFile('C:\Program Files\Torrent Search\IEEF\Gn2KEfcEjR.dll',''); DeleteFile('C:\Program Files\Torrent Search\IEEF\Gn2KEfcEjR.dll','32'); DeleteFile('C:\Program Files\Torrent Search\IEEF\Interfaces32.dll','32'); DeleteFile('C:\Windows\storegidfilter.sys','32'); DeleteFile('C:\Program Files\Google\chrome.bat','32'); DeleteFile('C:\Users\Валентин\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\Users\Валентин\AppData\Local\storegid\storegid.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','storegid'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','storegidUpdater'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Users\Валентин\AppData\Local\25364\a1487.exe','32'); DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','32'); DeleteFile('C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job','32'); DeleteFile('C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job','32'); DeleteFile('C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe','32'); DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search.job','32'); DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search2.job','32'); DeleteFile('C:\Program Files\Torrent Search\OwGT7Xd.exe','32'); DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','32'); DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore','32'); DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA','32'); DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsUpdate','32'); DeleteFile('C:\Program Files\BonanzaDeals\BonanzaDealsUpdate.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Kinoroom Browser','32'); DeleteFile('C:\Program Files\Kinoroom Browser\kinoroom-browser.exe','32'); DeleteFile('C:\Windows\system32\Tasks\LaunchSignup','32'); DeleteFile('C:\Windows\system32\Tasks\Update Service for Torrent Search','32'); DeleteFile('C:\Windows\system32\Tasks\Update Service for Torrent Search2','32'); DeleteFile('C:\Windows\system32\hfpapi.dll','32'); DeleteFile('C:\Windows\system32\Drivers\nethfdrv.sys','32'); DeleteFile('C:\Users\Валентин\appdata\roaming\aspackage\aspackage.exe','32'); DeleteFile('C:\Program Files\torrent search\basement\extensionupdaterservice.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи Ссылка на комментарий Поделиться на другие сайты More sharing options...
Yad Опубликовано 13 июля, 2015 Автор Share Опубликовано 13 июля, 2015 Ответ: KLAN-2966643746 Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. a1487.exe - not-a-virus:AdWare.Win32.Amonetize.ecychrome.bat,iexplore.bat - not-a-virus:AdWare.BAT.Clicker.afЭто файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdatesaspackage.exe,hfpapi.dllbrowser.batnethfdrv.sysПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.extensionupdaterservice.exe - not-a-virus:WebToolbar.Win32.Agent.bhvGn2KEfcEjR.dll,Interfaces32.dll,OwGT7Xd.exe - not-a-virus:WebToolbar.Win32.Agent.byostoregidfilter.sys - not-a-virus:NetTool.Win32.NetFilter.bЭто - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.С уважением, Лаборатория Касперского ClearLNK-13.07.2015_14-13.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 13 июля, 2015 Share Опубликовано 13 июля, 2015 Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Yad Опубликовано 14 июля, 2015 Автор Share Опубликовано 14 июля, 2015 Присоединил... AdwCleanerR1.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 14 июля, 2015 Share Опубликовано 14 июля, 2015 Отметьте и удалите все записи, кроме тех, где упоминается Mail.Ru. + Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Yad Опубликовано 14 июля, 2015 Автор Share Опубликовано 14 июля, 2015 Прикрепил Addition.txt FRST.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 14 июля, 2015 Share Опубликовано 14 июля, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File DefaultPrefix: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=1e242e52b89f12faa3a33445cce36313&text= <==== ATTENTION FF Extension: TSearch - C:\Users\Валентин\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} [2015-05-17] 2015-07-08 20:39 - 2015-07-08 20:39 - 00000893 _____ C:\Users\Валентин\Desktop\README9.txt 2015-07-08 20:39 - 2015-07-08 20:39 - 00000893 _____ C:\Users\Валентин\Desktop\README8.txt 2015-07-08 20:39 - 2015-07-08 20:39 - 00000893 _____ C:\Users\Валентин\Desktop\README7.txt 2015-07-08 20:39 - 2015-07-08 20:39 - 00000893 _____ C:\Users\Валентин\Desktop\README6.txt 2015-07-08 20:39 - 2015-07-08 20:39 - 00000893 _____ C:\Users\Валентин\Desktop\README5.txt 2015-07-08 20:39 - 2015-07-08 20:39 - 00000893 _____ C:\Users\Валентин\Desktop\README4.txt 2015-07-08 20:39 - 2015-07-08 20:39 - 00000893 _____ C:\Users\Валентин\Desktop\README3.txt 2015-07-08 20:39 - 2015-07-08 20:39 - 00000893 _____ C:\Users\Валентин\Desktop\README2.txt 2015-07-08 20:39 - 2015-07-08 20:39 - 00000893 _____ C:\Users\Валентин\Desktop\README10.txt 2015-07-08 18:51 - 2015-07-09 21:49 - 00000000 __SHD C:\Users\Все пользователи\Windows 2015-07-08 18:51 - 2015-07-09 21:49 - 00000000 __SHD C:\ProgramData\Windows 2015-07-13 13:55 - 2014-09-25 10:53 - 00000000 ____D C:\Users\Валентин\AppData\Local\25364 C:\Users\Валентин\AppData\Local\Temp\amigoBrowser.exe C:\Users\Валентин\AppData\Local\Temp\amigoSearch2.exe C:\Users\Валентин\AppData\Local\Temp\mail_amigo_1409744535081.exe C:\Users\Валентин\AppData\Local\Temp\reshebnik_com_1429468209578.exe CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.21.135\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.21.99\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.25.5\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.23.9\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{5A8FF410-F3CE-4844-B31B-F18D911239E8}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll No File CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.21.145\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.21.123\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.21.153\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.24.15\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.22.3\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.21.165\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.26.9\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.21.115\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.25.11\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.22.5\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.21.111\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.24.7\psuser.dll No File Task: {65C7F3C6-8AFC-4CAC-ACD0-1737ED06D9AC} - \Kinoroom Browser No Task File <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:9C783D4D AlternateDataStreams: C:\ProgramData\TEMP:D8999815 AlternateDataStreams: C:\Users\Валентин\Local Settings:wa AlternateDataStreams: C:\Users\Валентин\AppData\Local:wa AlternateDataStreams: C:\Users\Валентин\AppData\Local\Application Data:wa AlternateDataStreams: C:\Users\Все пользователи\TEMP:9C783D4D AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815 FirewallRules: [{29679712-1BFF-479C-A5F5-921496A1BF18}] => (Allow) C:\Users\Валентин\AppData\Local\MediaGet2\mediaget.exe FirewallRules: [{5BB52371-E7FE-4C3A-A303-A4EF7C8A654A}] => (Allow) C:\Users\Валентин\AppData\Local\MediaGet2\mediaget.exe FirewallRules: [{6CC00867-CCA2-4B2C-90DB-33C3D0616F2D}] => (Allow) C:\Users\Валентин\AppData\Local\MediaGet2\\Onlinetv\engine\mg_engine.exe FirewallRules: [{43FB59BE-A1F2-45CE-818E-EDC9C8062841}] => (Allow) C:\Users\Валентин\AppData\Local\MediaGet2\\Onlinetv\engine\mg_engine.exe Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Yad Опубликовано 14 июля, 2015 Автор Share Опубликовано 14 июля, 2015 прикрепил Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 14 июля, 2015 Share Опубликовано 14 июля, 2015 С расшифровкой не поможем. Как вариант, восстановить все из теневых копий Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти