Перейти к содержанию

Зашифрованные файлы


Рекомендуемые сообщения

Здраствуйте!

На компе зашифровано все, описание в прикрепленном файле readme9., лог тоже прикрепляю.можно ли все расшифровать?

CollectionLog-2015.07.15-15.24.zip

README9.txt

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Алексей.Алексей-ПК\appdata\everything\serviceeverything.exe','');
QuarantineFile('C:\Users\Алексей.Алексей-ПК\appdata\everything\sfkex64.exe','');
QuarantineFile('C:\Users\3444~1.-\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\3444~1.-\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\3444~1.-\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\3444~1.-\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Program Files (x86)\MiuiTab\SupTab.dll','');
QuarantineFile('C:\Users\Алексей.Алексей-ПК\AppData\Local\pricehorse\pricehorse\1.3.17.0\pricehorse.exe','');
DeleteFile('C:\Users\Алексей.Алексей-ПК\AppData\Local\pricehorse\pricehorse\1.3.17.0\pricehorse.exe','32');
DeleteFile('C:\Program Files (x86)\MiuiTab\SupTab.dll','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\Users\3444~1.-\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Users\3444~1.-\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Users\3444~1.-\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Users\3444~1.-\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\MetaCrawler.job','64');
DeleteFile('C:\Windows\Tasks\DigitalSite.job','64');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
DeleteFile('C:\Windows\Tasks\Dealply.job','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\Windows\system32\Tasks\DealPly','64');
DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64');
DeleteFile('C:\Windows\system32\Tasks\DigitalSite','64');
DeleteFile('C:\Windows\system32\Tasks\DSite','64');
DeleteFile('C:\Windows\system32\Tasks\MetaCrawler','64');
DeleteFile('C:\Windows\system32\Tasks\LaunchSignup','64');
DeleteFile('C:\Windows\system32\Tasks\Price-Horse','64');
DeleteFile('C:\Windows\system32\Tasks\Price-Horse Updater','64');
DeleteFile('C:\Users\Алексей\AppData\Roaming\WebaltaService\WebaltaService.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{3C26A706-6160-48DD-8B40-F329E2B907B6}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

файл карантина [KLAN-2973287212]

новый лог прилагаю
 

вот ответ
 
Re: фал карантина [KLAN-2973287212]
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.    

serviceeverything.exe - not-a-virus:AdWare.Win32.ELEX.ag
sfkex64.exe - not-a-virus:AdWare.Win64.Agent.ay

Это файлы от рекламной системы. Детектирование файлов будет добавлено в    следующее обновление расширенного набора баз. Подробная информация о    расширенных базах: http://www.kaspersky.ru/extraavupdates

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700   http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.    

serviceeverything.exe - not-a-virus:AdWare.Win32.ELEX.ag
sfkex64.exe - not-a-virus:AdWare.Win64.Agent.ay

These files are Advertizing Tools, theirs detection will be included in the next    update of extended databases set. See more info about    extended databases here: http://www.kaspersky.com/extraavupdates

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700   http://www.kaspersky.com http://www.viruslist.com"

CollectionLog-2015.07.15-17.48.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
Task: {0A7ADB56-6043-4285-87D8-B7249A4C0257} - \{3C26A706-6160-48DD-8B40-F329E2B907B6} No Task File <==== ATTENTION
Task: {168FACE6-0C15-47B5-B039-3A42BEDFC9B9} - \APSnotifierPP2 No Task File <==== ATTENTION
Task: {1B19C431-CF97-4BC8-9C19-E0B943772349} - \Price-Horse No Task File <==== ATTENTION
Task: {242FBD91-03D9-4B17-9057-26D81F40857F} - \MetaCrawler No Task File <==== ATTENTION
Task: {5654B5C9-A4AA-4376-AE55-99C63380F79A} - \Price-Horse Updater No Task File <==== ATTENTION
Task: {7480F60C-8738-42EA-BBED-03023C7E9AEF} - \DigitalSite No Task File <==== ATTENTION
Task: {A238A588-BA94-4A54-8576-57032AF3A12A} - \APSnotifierPP3 No Task File <==== ATTENTION
Task: {BDCD4A04-F5B5-47D7-9445-20861448CF5F} - \Digital Sites No Task File <==== ATTENTION
Task: {CB037CE3-30F2-4AE4-8A10-25E7EBFCEF43} - \DealPly No Task File <==== ATTENTION
Task: {DD9C5FCD-5B9B-4A07-B3D6-EE1078EB0985} - \DSite No Task File <==== ATTENTION
Task: {DF384A2A-9BD1-4929-8FAC-DFF4925B29C9} - \LaunchSignup No Task File <==== ATTENTION
Task: {EF0571AF-CFFA-44DE-9436-CDBBFCE22B67} - \ASP No Task File <==== ATTENTION
Task: {F8AC732C-C9DF-4128-ACB3-7216F257477C} - \APSnotifierPP1 No Task File <==== ATTENTION
AlternateDataStreams: C:\Users\Алексей.Алексей-ПК\Local Settings:wa
AlternateDataStreams: C:\Users\Алексей.Алексей-ПК\AppData\Local:wa
AlternateDataStreams: C:\Users\Алексей.Алексей-ПК\AppData\Local\Application Data:wa
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKLM -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://i.search.metacrawler.com/results.php?f=4&q={searchTerms}&a=ironmc2&cd=2XzuyEtN2Y1L1QzutDtDtC0Ezz0CyB0FtC0B0EzztCtB0FyDtN0D0Tzu0CyCtAtCtN1L2XzutBtFtBtFyCtFtCtDzyyBtN1L1Czu&cr=1516448744&ir=
SearchScopes: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> 39789FA8E732704BC79A63A61956A244 URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> 412758B2DB1F2D0ED31093FBB9A46A1D URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> 4AF9B7B6847C70AD1B0392AEA255B183 URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> 648587B9744EAEEE6F9E7BC753D56285 URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> 67508114C94565B9C1603258ABBFE24E URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> 7BC1FC9FE0D20F0EC20E8079D419F296 URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> ECCE93F90D643F6AA4620B71CA38667C URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> Moikrug URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> Yandex URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> yandex.ru-141846 URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> yandex.ru-194003 URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> yandex.ru-205709 URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKLM-x32 - No Name - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} -  No File
Toolbar: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Toolbar: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF DefaultSearchEngine: delta-homes
FF SearchEngineOrder.1: Ask.com
FF SelectedSearchEngine: delta-homes
FF Extension: WebAlta - C:\Users\Алексей.Алексей-ПК\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{4933189D-C7F7-4C6E-834B-A29F087BFD23}.xpi [2012-04-07]
FF Extension: Everysale.Net - C:\Users\Алексей.Алексей-ПК\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{4d31e4c9-ce86-4b0f-8ffb-56345a8b5f6c}.xpi [2014-07-28]
FF Extension: Desktopy - C:\Users\Алексей.Алексей-ПК\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{71238372-3743-33ab-8a9f-93722af74c97}.xpi [2013-11-03]
2015-07-08 20:47 - 2015-07-08 20:47 - 05292054 _____ C:\Users\Алексей.Алексей-ПК\AppData\Roaming\55D9D0B855D9D0B8.bmp
2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Алексей.Алексей-ПК\Desktop\README9.txt
2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Алексей.Алексей-ПК\Desktop\README8.txt
2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Алексей.Алексей-ПК\Desktop\README7.txt
2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Алексей.Алексей-ПК\Desktop\README6.txt
2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Алексей.Алексей-ПК\Desktop\README5.txt
2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Алексей.Алексей-ПК\Desktop\README4.txt
2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Алексей.Алексей-ПК\Desktop\README3.txt
2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Алексей.Алексей-ПК\Desktop\README2.txt
2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Алексей.Алексей-ПК\Desktop\README10.txt
2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Алексей.Алексей-ПК\Desktop\README1.txt
2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Public\Desktop\README9.txt
2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Public\Desktop\README8.txt
2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Public\Desktop\README7.txt
2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Public\Desktop\README6.txt
2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Public\Desktop\README5.txt
2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Public\Desktop\README4.txt
2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Public\Desktop\README3.txt
2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Public\Desktop\README2.txt
2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Public\Desktop\README10.txt
2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Public\Desktop\README1.txt
2015-07-08 20:13 - 2015-07-14 17:04 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-07-08 20:13 - 2015-07-14 17:04 - 00000000 __SHD C:\ProgramData\Windows
2015-07-08 20:13 - 2015-07-08 20:13 - 00000893 _____ C:\README9.txt
2015-07-08 20:13 - 2015-07-08 20:13 - 00000893 _____ C:\README8.txt
2015-07-08 20:13 - 2015-07-08 20:13 - 00000893 _____ C:\README7.txt
2015-07-08 20:13 - 2015-07-08 20:13 - 00000893 _____ C:\README6.txt
2015-07-08 20:13 - 2015-07-08 20:13 - 00000893 _____ C:\README5.txt
2015-07-08 20:13 - 2015-07-08 20:13 - 00000893 _____ C:\README4.txt
2015-07-08 20:13 - 2015-07-08 20:13 - 00000893 _____ C:\README3.txt
2015-07-08 20:13 - 2015-07-08 20:13 - 00000893 _____ C:\README2.txt
2015-07-08 20:13 - 2015-07-08 20:13 - 00000893 _____ C:\README10.txt
2015-06-23 21:37 - 2015-02-05 02:27 - 00000000 ____D C:\Program Files (x86)\XTab
C:\Users\Алексей.Алексей-ПК\AppData\Local\Temp\nBIX76qG5Zp6.exe
C:\Users\Алексей.Алексей-ПК\AppData\Local\Temp\PGtTgVnbWhoQ.exe
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Папки

C:\Users\Алексей.Алексей-ПК\AppData\Roaming\Systweak
C:\Users\Алексей.Алексей-ПК\AppData\Roaming\DigitalSites
C:\Users\Алексей.Алексей-ПК\AppData\Roaming\DigitalSite
C:\Users\Алексей.Алексей-ПК\AppData\Roaming\DSite

 

удалите вручную.

 

С расшифровкой не поможем

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...