Перейти к содержанию

Рекомендуемые сообщения

Словил вирус!


Теперь маюсь))


Помогите!


 


Ваши файлы были зашифрованы.


Чтобы расшифровать их, Вам необходимо отправить код:

3F44665B8DB3727501C6|0

на электронный адрес decode010@gmail.com или decode1110@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

KLAN-3000739367 (отправил зашифрованные файлы)

CollectionLog-2015.07.24-19.50.zip

Изменено пользователем ArtMaster7
Ссылка на комментарий
Поделиться на другие сайты

Добрый день. Для получения помощи от консультантов необходимо выполнить Порядок оформления запроса о помощи и прикрепить логи.

исправил...и дополнил

Изменено пользователем ArtMaster7
Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\miuitab\browerwatchff.dll','');
QuarantineFile('C:\Program Files\globalUpdate\Update\globalupdate.exe','');
QuarantineFile('C:\Users\Пользователь\AppData\Local\7231\Updater.exe','');
QuarantineFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-7.exe','');
QuarantineFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-6.exe','');
QuarantineFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-5.exe','');
QuarantineFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-3.exe','');
QuarantineFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-11.exe','');
QuarantineFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-10.exe','');
QuarantineFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-1-7.exe','');
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\itghhbie\etbdudis.exe','');
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\VOPackage\VOPackage.exe','');
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\Пользователь\AppData\Local\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('C:\Users\Пользователь\AppData\Local\Kometa\Application\kometa.bat','');
QuarantineFile('C:\Program Files\Google\Chrome\Application\chrome.bat','');
QuarantineFile('C:\Program Files\Internet Explorer\iexplore.bat','');
TerminateProcessByName('c:\program files\661ac600-1436849872-11e0-bfbb-f46d0432f094\knso5fa9.tmp');
QuarantineFile('c:\program files\661ac600-1436849872-11e0-bfbb-f46d0432f094\knso5fa9.tmp','');
DeleteFile('c:\program files\661ac600-1436849872-11e0-bfbb-f46d0432f094\knso5fa9.tmp','32');
DeleteFile('c:\Program Files\sayescoupon\sayescoupon.dll','32');
DeleteFile('C:\Program Files\Internet Explorer\iexplore.bat','32');
DeleteFile('C:\Program Files\Google\Chrome\Application\chrome.bat','32');
DeleteFile('C:\Users\Пользователь\AppData\Local\Kometa\Application\kometa.bat','32');
DeleteFile('C:\Users\Пользователь\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Users\Пользователь\AppData\Roaming\VOPackage\VOPackage.exe','32');
DeleteFile('C:\Users\Пользователь\AppData\Roaming\itghhbie\etbdudis.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Алекс Гордон');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','Update');
DeleteFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-1-6.exe','32');
DeleteFile('C:\Windows\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-1-6.job','32');
DeleteFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-1-7.exe','32');
DeleteFile('C:\Windows\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-1-7.job','32');
DeleteFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-10.exe','32');
DeleteFile('C:\Windows\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-10_user.job','32');
DeleteFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-11.exe','32');
DeleteFile('C:\Windows\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-11.job','32');
DeleteFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-3.exe','32');
DeleteFile('C:\Windows\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-3.job','32');
DeleteFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-5.exe','32');
DeleteFile('C:\Windows\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-5.job','32');
DeleteFile('C:\Windows\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-5_user.job','32');
DeleteFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-6.exe','32');
DeleteFile('C:\Windows\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-6.job','32');
DeleteFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-7.exe','32');
DeleteFile('C:\Windows\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-7.job','32');
DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','32');
DeleteFile('C:\Users\Пользователь\AppData\Local\7231\Updater.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
DeleteFile('C:\Program Files\globalUpdate\Update\globalupdate.exe','32');
DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
DeleteFile('C:\Windows\system32\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-1-6','32');
DeleteFile('C:\Windows\system32\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-1-7','32');
DeleteFile('C:\Windows\system32\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-11','32');
DeleteFile('C:\Windows\system32\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-3','32');
DeleteFile('C:\Windows\system32\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-5','32');
DeleteFile('C:\Windows\system32\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-6','32');
DeleteFile('C:\Windows\system32\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-7','32');
DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32');
DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','32');
DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','32');
DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','32');
DeleteFile('C:\Program Files\miuitab\browerwatchff.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
     
    move.gif
     
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.    

chrome.bat - not-a-virus:AdWare.BAT.Clicker.af

Это файл от рекламной системы. Детектирование файла будет добавлено в    следующее обновление расширенного набора баз. Подробная информация о    расширенных базах:http://www.kaspersky.ru/extraavupdates

iexplore.bat
knso5fa9.tmp

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

VOPackage.exe - Trojan-Downloader.Win32.Genome.tjri

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700   http://www.kaspersky.ru http://www.viruslist.ru"
 

 

KLAN-3001670688

 

ClearLNK-24.07.2015_21-44.log

CollectionLog-2015.07.24-22.15.zip

Ссылка на комментарий
Поделиться на другие сайты

Да.

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
B92LqRQ.png
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты

удалите через панель управления или CCleaner

> Chrome Search (HKLM\...\{2AEF02C3-5159-4C81-A688-8D954F0DEE56}_NewSearch) (Version:  - )
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:

HKU\S-1-5-21-2943002770-1140832744-391665118-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=6033042a61e828b001dab0e10494e8b2&text={searchTerms}
HKU\S-1-5-21-2943002770-1140832744-391665118-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=6033042a61e828b001dab0e10494e8b2&text={searchTerms}
SearchScopes: HKU\S-1-5-21-2943002770-1140832744-391665118-1000 -> 0633EE93-D776-472f-A0FF-E1416B8B2E3A URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD5000AAKS-00E4A0_WD-WCATR786579565795&ts=1436852422&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2943002770-1140832744-391665118-1000 -> Moikrug URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD5000AAKS-00E4A0_WD-WCATR786579565795&ts=1436852422&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2943002770-1140832744-391665118-1000 -> Software URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD5000AAKS-00E4A0_WD-WCATR786579565795&ts=1436852422&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2943002770-1140832744-391665118-1000 -> Yandex URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD5000AAKS-00E4A0_WD-WCATR786579565795&ts=1436852422&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2943002770-1140832744-391665118-1000 -> yandex.ru-141921 URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD5000AAKS-00E4A0_WD-WCATR786579565795&ts=1436852422&type=default&q={searchTerms}
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-2943002770-1140832744-391665118-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
DefaultPrefix: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=6033042a61e828b001dab0e10494e8b2&text= <==== ATTENTION
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
FF Plugin: @microsoft.com/GENUINE -> disabled No File
FF Extension: Kino-Filmov.Net Toolbar - C:\Users\Пользователь\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\kino-filmov.net.xpi [2010-08-08]
FF HKU\S-1-5-21-2943002770-1140832744-391665118-1000\...\Firefox\Extensions: [{b64982b1-d112-42b5-b1e4-d3867c4533f8}] - C:\ProgramData\Browser Manager\2.3.787.43\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension
CHR dev: Chrome dev build detected! <======= ATTENTION
CHR HKLM\...\Chrome\Extension: [cegdomhocaeoedbdpfolmgjkjaijfomo] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path Or update_url value
CHR HKLM\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ppgjgejknhoafbgicpmmaiiikobkpfjm] - C:\Users\Пользователь\AppData\Local\Downandsave\Chrome\Downandsave.crx [Not Found]
OPR Extension: (No Name) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\ablgnpngfaaficpckehadaljnjgjkhbi [2015-07-14]
StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe http://www.istartsurf.com/?type=sc&ts=1436852359&z=602ad297b9fcdb5609cab9eg3zfc4q2b5w1o8c3zew&from=face&uid=WDCXWD5000AAKS-00E4A0_WD-WCATR786579565795
S3 4F9790DCB8466A95; \??\C:\Windows\TEMP\5A67AB0.sys [X]
S3 4F9792CA033CD895; \??\C:\Windows\TEMP\52DA78C.sys [X]
2015-07-14 20:28 - 2015-07-14 20:28 - 04320054 _____ C:\Users\Пользователь\AppData\Roaming\07A6B9B707A6B9B7.bmp
2015-07-14 15:45 - 2015-07-14 19:20 - 00000258 __RSH C:\Users\Все пользователи\ntuser.pol
2015-07-14 15:45 - 2015-07-14 19:20 - 00000258 __RSH C:\ProgramData\ntuser.pol
2015-07-14 15:45 - 2015-07-14 15:45 - 00000008 __RSH C:\Users\Пользователь\ntuser.pol
2015-07-14 09:39 - 2015-07-15 15:04 - 00000000 ____D C:\Users\Пользователь\AppData\Local\SmartWeb
2015-07-14 15:44 - 2015-07-24 21:44 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kometa
2015-07-14 08:59 - 2015-07-15 15:04 - 00000000 ____D C:\Users\Пользователь\AppData\Local\Kometa
2015-07-14 08:59 - 2015-07-14 08:59 - 00000000 ____D C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Панель запуска браузера Комета
2011-08-12 22:23 - 2013-01-13 18:01 - 0000256 _____ () C:\ProgramData\ticno.lic
2014-11-13 07:00 - 2014-11-13 07:00 - 6000640 _____ () C:\Program Files\GUT8824.tmp
2015-07-14 20:28 - 2015-07-14 20:28 - 4320054 _____ () C:\Users\Пользователь\AppData\Roaming\07A6B9B707A6B9B7.bmp
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
Task: {E6923AF1-0A34-49BD-AF54-20DC0E44A7CE} - \SmartWeb Upgrade Trigger Task No Task File <==== ATTENTION
Task: {A59D91A7-B234-4C3A-A482-B274C318C7BD} - \APSnotifierPP1 No Task File <==== ATTENTION
Task: {0B91A11F-6ACE-4F10-928C-EBC4880FD26E} - \APSnotifierPP3 No Task File <==== ATTENTION
Task: {11EFC75C-C7F2-49FC-91F1-A31EC1EBBC2F} - \APSnotifierPP2 No Task File <==== ATTENTION

Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

+ приложите лог AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Alex2088
      От Alex2088
      Здравствуйте помогите расшифровать файлы бызы 1с. Сылку для скачиваия файла прикриплю.
        https://dropmefiles.com/f0l5Y 
      Frank_Help.txt
       
      Сообщение от модератора kmscom тема перемещена из раздела Компьютерная помощь
    • skyinfire
      От skyinfire
      Здравствуйте.
      Столкнулись с тем же шифровальщиком - куча файлов, даже фильмов, переименована в *.Bpant.
      Сканирование Касперским (одноразовым) ничего не находит.
      Порт RDP нестандартный (хотя что мешает сканеру найти этот порт - просто на все стучаться, пока RDP не ответит?)
      А вот пароль непростой, 20 символов, хоть и словами с регистрами.
      Другие компы в сети не заражены, хотя на текущем есть общая папка без пароля.
      В первую очередь хочется понять, как произошло заражение, возможен ли взлом (использование уязвимостей Win Server 2019, давно не обновляли?), чтобы предотвратить такое в будущем.
      Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?
      Bpant_Help.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • tau34
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
×
×
  • Создать...