Лечение вируса. Ваши файлы были зашифрованы.

24 июля, 2015

Залез на какой-то сайт и произошло следующее:

На экране появился банер с надписью

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

F557E5DD773710ABD118|0

на электронный адрес decode010@gmail.com или decode1110@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

F557E5DD773710ABD118|0

to e-mail address decode010@gmail.com or decode1110@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

после этого проверил компьютер Dr.WEB Cureit и Malwarebytes Anti-Malware но ничего не помогло.

Большая просьба разобраться в проблеме. Спасибо.

CollectionLog-2015.07.24-20.01.zip

24 июля, 2015

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Домашний\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\Домашний\AppData\Roaming\Browsers\exe.emorhc.bat','');
QuarantineFile('C:\Users\Домашний\AppData\Local\XMJ\winlogon_update.exe','');
DeleteFile('C:\Users\Домашний\AppData\Local\XMJ\winlogon_update.exe','32');
DeleteFile('C:\Users\Домашний\AppData\Roaming\Browsers\exe.emorhc.bat','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Фоновая интеллектуальная служба передачи (BITS)','command');
DeleteFile('C:\Users\41BC~1\AppData\Local\Temp\9C49.tmp','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
DeleteFile('C:\Users\Домашний\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

24 июля, 2015

Это пришло от Касперского :

Здравствуйте,[/size]

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. [/size]

quarantine.zip[/size]

Этот файл повреждён.[/size]

С уважением, Лаборатория Касперского[/size]

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 [/size]http://www.kaspersky.ru [/size]http://www.viruslist.ru"[/size]

Hello,[/size]

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. [/size]

quarantine.zip[/size]

This file is corrupted.[/size]

Best Regards, Kaspersky Lab[/size]

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 [/size]http://www.kaspersky.com [/size]http://www.viruslist.com"[/size]

Номер [/size]KLAN-3001541177[/size]

ClearLNK-24.07.2015_21-57.log

24 июля, 2015

Это просто кошмар, когда написанное красным в упор не замечают

24 июля, 2015

Ответ от касперского :

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

quarantine.zip

This file is corrupted.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

KLAN-3001654591

CollectionLog-2015.07.24-22.43.zip

ClearLNK-24.07.2015_22-45.log

24 июля, 2015

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

25 июля, 2015

Отправил

Addition.txt

FRST.txt

25 июля, 2015

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
HKU\S-1-5-19\...\RunOnce: [] => [X]
HKU\S-1-5-20\...\RunOnce: [] => [X]
HKU\S-1-5-18\...\RunOnce: [] => [X]
HKU\S-1-5-21-1733800328-2286539017-142135386-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b6825a1e1d8442ab31cf79cce750bb97&text={searchTerms}
HKU\S-1-5-21-1733800328-2286539017-142135386-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b6825a1e1d8442ab31cf79cce750bb97&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1733800328-2286539017-142135386-1000 -> 79320B55FA22860E4BA9E442802ECF83 URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b6825a1e1d8442ab31cf79cce750bb97&text={searchTerms}
Toolbar: HKU\S-1-5-21-1733800328-2286539017-142135386-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
FF Extension: SuperMegaBest.com - C:\Users\Домашний\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2014-09-21]
OPR Extension: (SuperMegaBest.com) - C:\Users\Домашний\AppData\Roaming\Opera Software\Opera Stable\Extensions\aonedlchkbicmhepimiahfalheedjgbh [2014-09-21]
OPR Extension: (Переводчик для Chrome 2) - C:\Users\Домашний\AppData\Roaming\Opera Software\Opera Stable\Extensions\chklaanhfefbnpoihckbnefhakgolnmc [2014-11-07]
2015-07-20 22:39 - 2015-07-20 22:39 - 04320054 _____ C:\Users\Домашний\AppData\Roaming\1A17B66E1A17B66E.bmp
2015-07-20 20:11 - 2015-07-20 20:11 - 00000893 _____ C:\README9.txt
2015-07-20 20:11 - 2015-07-20 20:11 - 00000893 _____ C:\README8.txt
2015-07-20 20:11 - 2015-07-20 20:11 - 00000893 _____ C:\README7.txt
2015-07-20 20:11 - 2015-07-20 20:11 - 00000893 _____ C:\README6.txt
2015-07-20 20:11 - 2015-07-20 20:11 - 00000893 _____ C:\README5.txt
2015-07-20 20:11 - 2015-07-20 20:11 - 00000893 _____ C:\README4.txt
2015-07-20 20:11 - 2015-07-20 20:11 - 00000893 _____ C:\README3.txt
2015-07-20 20:11 - 2015-07-20 20:11 - 00000893 _____ C:\README2.txt
2015-07-20 20:11 - 2015-07-20 20:11 - 00000893 _____ C:\README10.txt
2015-07-20 20:10 - 2015-07-20 20:11 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-07-20 20:10 - 2015-07-20 20:11 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\Домашний\AppData\Local\Temp\261238E22C8286F.exe
C:\Users\Домашний\AppData\Local\Temp\AmigoDistrib.exe
2014-09-19 21:41 - 2014-09-19 21:41 - 0000121 ____H () C:\Program Files (x86)\LSLauncher.bat
C:\Users\Домашний\AppData\Local\Temp\utt3EBA.tmp.exe
C:\Users\Домашний\AppData\Local\Temp\uttD380.tmp.exe
C:\Users\Домашний\AppData\Local\Temp\YWB5iWCrGFfo.exe
Reboot:

Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

25 июля, 2015

Отправляю

Fixlog.txt

25 июля, 2015

С расшифровкой не поможем

25 июля, 2015

Кто бы сомневался.

Лечение вируса. Ваши файлы были зашифрованы.

Рекомендуемые сообщения

Venom_344

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Venom_344

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Venom_344

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Venom_344

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Venom_344

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Venom_344

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum