Перейти к содержанию

Вирус-шифровальщик .XTBL

simm
 Поделиться

Рекомендуемые сообщения

simm Новичок

simm

Опубликовано
Опубликовано

Здравствуйте. Поймал вирус-шифровальщик. Чистил cureitом. Помогите с расшифровкой файлов!!! Прикрепляю логи и зашифрованную фотку. Заранее спасибо.

CollectionLog-2015.08.31-01.28.zip

111.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\simm\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','');
QuarantineFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV26.08\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-1-6.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV26.08\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-1-7.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV26.08\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-5.exe','');
QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe','');
QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.2vV26.08\5d2d5bae-4303-4fb2-b1af-150f436ebe19-5.exe','');
QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.2vV26.08\5d2d5bae-4303-4fb2-b1af-150f436ebe19-1-7.exe','');
DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}');
QuarantineFile('C:\Users\simm\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk','');
QuarantineFile('C:\Users\simm\AppData\Roaming\dfibhtfe\eafaejsi.exe','');
QuarantineFile('C:\Users\simm\AppData\Local\YhlPack\ShTrust.dll','');
QuarantineFile('C:\Users\simm\AppData\Local\Kometa\kometaup.exe','');
DeleteService('QMUdisk');
DeleteService('TS888x64');
DeleteService('TSSKX64');
DeleteService('wsafd_1_10_0_19');
QuarantineFile('C:\Windows\system32\drivers\wsafd_1_10_0_19.sys','');
QuarantineFile('C:\Program Files (x86)\30464336-1440662859-3537-4339-3734FFFFFFFF\hnsuE5E5.tmp','');
QuarantineFile('C:\Program Files (x86)\30464336-1440662859-3537-4339-3734FFFFFFFF\knsdE1CC.tmp','');
QuarantineFile('C:\Program Files (x86)\30464336-1440662859-3537-4339-3734FFFFFFFF\jnsoCDB1.tmp','');
QuarantineFile('C:\Program Files\NixSrv\NixSrv.exe','');
DeleteService('totyseku');
DeleteService('NixSrv');
DeleteService('kozeliso');
DeleteService('jimocoso');
DeleteService('globalUpdatem');
DeleteService('globalUpdate');
SetServiceStart('WindowsMangerProtect', 4);
DeleteService('WindowsMangerProtect');
SetServiceStart('SSFK', 4);
DeleteService('SSFK');
SetServiceStart('ExtTag', 4);
DeleteService('ExtTag');
QuarantineFile('C:\ProgramData\ExtTag\Solosiltex.dll','');
QuarantineFile('C:\ProgramData\ExtTag\ExtTag.dll','');
TerminateProcessByName('c:\programdata\vwinmanprov\winmanpro.exe');
QuarantineFile('c:\programdata\vwinmanprov\winmanpro.exe','');
TerminateProcessByName('c:\program files (x86)\sfk\ssfk.exe');
QuarantineFile('c:\program files (x86)\sfk\ssfk.exe','');
TerminateProcessByName('C:\Program Files (x86)\SFK\SFKEX64.exe');
QuarantineFile('C:\Program Files (x86)\SFK\SFKEX64.exe','');
TerminateProcessByName('c:\programdata\exttag\kaystring.exe');
QuarantineFile('c:\programdata\exttag\kaystring.exe','');
TerminateProcessByName('c:\programdata\exttag\exttag.exe');
QuarantineFile('c:\programdata\exttag\exttag.exe','');
DeleteFile('c:\programdata\exttag\exttag.exe','32');
DeleteFile('c:\programdata\exttag\kaystring.exe','32');
DeleteFile('C:\Program Files (x86)\SFK\SFKEX64.exe','32');
DeleteFile('c:\program files (x86)\sfk\ssfk.exe','32');
DeleteFile('c:\programdata\vwinmanprov\winmanpro.exe','32');
DeleteFile('C:\ProgramData\ExtTag\ExtTag.dll','32');
DeleteFile('C:\ProgramData\ExtTag\Solosiltex.dll','32');
DeleteFile('C:\Program Files\NixSrv\NixSrv.exe','32');
DeleteFile('C:\Program Files (x86)\30464336-1440662859-3537-4339-3734FFFFFFFF\jnsoCDB1.tmp','32');
DeleteFile('C:\Program Files (x86)\30464336-1440662859-3537-4339-3734FFFFFFFF\knsdE1CC.tmp','32');
DeleteFile('C:\Program Files (x86)\30464336-1440662859-3537-4339-3734FFFFFFFF\hnsuE5E5.tmp','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QMUdisk64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TS888x64.sys','32');
DeleteFile('C:\Windows\system32\drivers\tsskx64.sys','32');
DeleteFile('C:\Windows\system32\drivers\wsafd_1_10_0_19.sys','32');
DeleteFile('C:\Program Files (x86)\Rising\RSD\popwndexe.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RSDTRAY','command');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\plugins\FileSmash\QMSoftExt.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{754DF2CE-51E8-4895-B53C-6381418B84AE}');
DeleteFile('C:\Program Files (x86)\baidu\pps.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\apphide','command');
DeleteFile('C:\Users\simm\AppData\Local\Kometa\kometaup.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MailRuUpdater','command');
DeleteFile('C:\Users\simm\AppData\Local\Temp\A9CF.tmp.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YhlPack','command');
DeleteFile('C:\Users\simm\AppData\Roaming\dfibhtfe\eafaejsi.exe','32');
DeleteFile('C:\Users\simm\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ESET');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YkPack');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\divgdadxxu','command');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','UTmedia');
DeleteFile('C:\Program Files (x86)\CinemaPlus-4.2vV26.08\5d2d5bae-4303-4fb2-b1af-150f436ebe19-1-7.exe','32');
DeleteFile('C:\Program Files (x86)\CinemaPlus-4.2vV26.08\5d2d5bae-4303-4fb2-b1af-150f436ebe19-5.exe','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\Windows\Tasks\5d2d5bae-4303-4fb2-b1af-150f436ebe19-5.job','64');
DeleteFile('C:\Windows\Tasks\5d2d5bae-4303-4fb2-b1af-150f436ebe19-1-7.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\Windows\Tasks\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-1-6.job','64');
DeleteFile('C:\Windows\Tasks\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-1-7.job','64');
DeleteFile('C:\Windows\Tasks\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-10_user.job','64');
DeleteFile('C:\Windows\Tasks\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-5.job','64');
DeleteFile('C:\Windows\Tasks\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-5_user.job','64');
DeleteFile('C:\Windows\Tasks\Crossbrowse.job','64');
DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV26.08\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-5.exe','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV26.08\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-10.exe','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV26.08\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-1-7.exe','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV26.08\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-1-6.exe','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\Windows\system32\Tasks\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-1-6','64');
DeleteFile('C:\Windows\system32\Tasks\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-10_user','64');
DeleteFile('C:\Windows\system32\Tasks\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-5_user','64');
DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
DeleteFile('C:\Windows\system32\Tasks\WordSurfer Auto Updater 1.10.0.19 Core','64');
DeleteFile('C:\Windows\system32\Tasks\WordSurfer Auto Updater 1.10.0.19 Pending Update','64');
DeleteFile('C:\Windows\system32\Tasks\{2EEA4EFD-1264-425A-93D9-52E4E00F0544}','64');
DeleteFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe','32');
DeleteFile('C:\Users\simm\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
simm Новичок

simm

Опубликовано
  • Автор
Опубликовано (изменено)
Re: Virus [KLAN-3094911549]
От кого: newvirus@kaspersky.com Кому: gsu_irk@mail.ru
 
Сегодня, 9:35
 
 
 
 

 

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

вoйти в интeрнeт.exe - not-a-virus:Downloader.Win32.LMN.afw

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

eafaejsi.exe - Trojan.Win32.Fsysna.cffc
exttag.exe - Trojan.MSIL.Agent.abdvm

Детектирование файлов будет добавлено в следующее обновление.

ShTrust.dll,
Solosiltex.dll,
ExtTag.dll,
winmanpro.exe,
ssfk.exe,
kaystring.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

NixSrv.exe - not-a-virus:AdWare.Win32.Amonetize.bdjk
SFKEX64.exe - not-a-virus:AdWare.Win64.Agent.be

Это файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"
 

CollectionLog-2015.08.31-10.01.zip

Изменено пользователем simm
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Удалите в МВАМ все, кроме

Trojan.Agent.CK, E:\Install\ESET NOD32\ESET 8\TNod-1.4.2.3-final-setup.exe, , [203d69a617743303dc944f20c54028d8], 
PUP.Optional.OpenCandy, E:\Install\Multimedia\CD_DVD\DTLite4452-0287.exe, , [e677947b0b80ad890fc02360759027d9], 
PUP.RiskWare.Patcher, E:\Install\Multimedia\Photodex ProShow Producer\Photodex ProShow Producer v6.0.3410 Final Eng_Rus\patch Producer & Gold 6.0.3410 by KHG\proshow.producer.-.gold.6.0.3410-patch.exe, , [05588a8592f9360064084f70bb4605fb], 
RiskWare.Tool.CK, E:\Install\Multimedia\QTime.7.6.9\QTime.7.6.9\Keygen.exe, , [451858b7b0dbcb6b25248a8656aca759], 
PUP.HackTool.Patcher, E:\Install\Multimedia\Видео\Захват\IUVCR\Crack\.4.12.0.375-rus-crack.exe, , [134a11fedbb0c86e3b91c8408e728e72], 
PUP.HackTool.Patcher, E:\Install\Multimedia\Видео\Захват\IUVCR\Crack\4.12.0.375-eng-crack.exe, , [0f4ebd525932072fae1e11f728d804fc], 
RiskWare.Tool.CK, E:\Install\Multimedia\Видео\Захват\IUVCR\Crack\Addon.exe, , [411cd8375932a59137b0214d4cb93ec2], 
RiskWare.Tool.CK, E:\Install\Multimedia\Видео\Кодирование\Xilisoft Video Converter Ultimate v7.8.5 Build-20141031 Final Ml_Rus\medicine.exe, , [203dec238cff7db942d07ffb5aa7e31d], 
HackTool.WpaKill, E:\Install\OC\All activation Win 7\RemoveWAT.exe, , [421b729d0b802511ac0764669b66b64a], 
HackTool.WpaKill, E:\Install\OC\All activation Win 7\Activators\RemoveWAT.exe, , [bba2b55adab1a294753ef6d49e6358a8], 
HackTool.Agent, E:\Install\OC\All activation Win 7\Activators\Windows.Loader.v2.2.1\Windows Loader.exe, , [77e6d43bc7c41125a97deed1eb16af51], 
PUP.HackTool, E:\Install\OC\All activation Win 7\KMS\mini-KMS Activator EN\mKMSAct.exe, , [3c2115fa2467ac8adb7810af847d619f], 
PUP.HackTool, E:\Install\OC\All activation Win 7\KMS\mini-KMS Activator RU\mKMSAct.exe, , [bf9e0c03860569cdcc879827cc35b749], 
PUP.HackTool, E:\Install\OC\All activation Win 7\KMS\miniKMS by Ivn78\mini-KMS Activator EN\mKMSAct.exe, , [9cc1d7382a61aa8c95beb708ee13b947], 
PUP.HackTool, E:\Install\OC\All activation Win 7\KMS\miniKMS by Ivn78\mini-KMS Activator RU\mKMSAct.exe, , [1449838c414a25113a19962960a1dc24], 
RiskWare.Tool.CK, E:\Install\OC\All activation Win 7\KMS\SuperMini_KMS\Keygen.exe, , [e6773ad5b5d681b57d8aa9baaa56a65a], 
Trojan.Dropper.PGen, E:\Install\OC\UltraISO Premium Edition v9.5.3.2855 Retail ML_RUS\Keygens\Keygen-CORE\UltraISO SN-CORE.exe, , [56078d8245461b1b4e2ed09a956bc838], 
RiskWare.Tool.CK, E:\Install\OC\UltraISO Premium Edition v9.5.3.2855 Retail ML_RUS\Keygens\Keygen-ZWT\keygen.exe, , [afaeac638cffd85eb90d3dfdb54c9b65], 
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-3321373163-762474380-4263645077-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3321373163-762474380-4263645077-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=98388105_hao_pg
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-3321373163-762474380-4263645077-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
2015-08-28 22:29 - 2015-08-28 22:29 - 06220854 _____ C:\Users\simm\AppData\Roaming\A45FC1EBA45FC1EB.bmp
2015-08-28 22:12 - 2015-08-28 22:12 - 00003234 _____ C:\Windows\System32\Tasks\dowiloadup
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Roaming\VOPackage
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Roaming\mystartsearch
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Roaming\istartsurf
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Roaming\AnyProtectEx
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Local\SmartWeb
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Local\Kometa
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Local\gmsd_ru_025010072
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Local\gmsd_ru_005010072
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Local\globalUpdate
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Local\Crossbrowse
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossbrowse
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Program Files (x86)\WordSurfer_1.10.0.19
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Program Files (x86)\gmsd_ru_025010072
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Program Files (x86)\gmsd_ru_005010072
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Program Files (x86)\globalUpdate
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Program Files (x86)\Crossbrowse
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Program Files (x86)\AnyProtectEx
2015-08-27 22:17 - 2015-09-01 13:00 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-08-27 22:17 - 2015-09-01 13:00 - 00000000 __SHD C:\ProgramData\Windows
2015-08-27 21:59 - 2015-08-27 22:19 - 00000120 _____ C:\Windows\Reimage.ini
2015-08-27 21:57 - 2015-08-31 09:22 - 00000000 ____D C:\Program Files\NixSrv
2015-08-27 21:33 - 2015-08-28 10:12 - 00028984 _____ (Tencent) C:\Windows\SysWOW64\Drivers\TS888x64.sys
2015-08-27 17:53 - 2015-08-27 21:33 - 00000000 ____D C:\Users\Все пользователи\Rising
2015-08-27 17:53 - 2015-08-27 21:33 - 00000000 ____D C:\ProgramData\Rising
2015-08-27 17:53 - 2014-07-30 11:44 - 00091928 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64\vpatch.dll
2015-08-27 17:52 - 2015-08-27 17:52 - 00000000 ____D C:\Users\Все пользователи\TXQMPC
2015-08-27 17:52 - 2015-08-27 17:52 - 00000000 ____D C:\ProgramData\TXQMPC
2015-08-27 17:51 - 2015-08-27 21:44 - 00000000 ____D C:\Users\simm\AppData\Roaming\Tencent
2015-08-27 17:51 - 2015-08-27 21:35 - 00000000 ____D C:\Users\Все пользователи\Tencent
2015-08-27 17:51 - 2015-08-27 21:35 - 00000000 ____D C:\ProgramData\Tencent
2015-08-27 17:51 - 2015-08-27 17:51 - 00087864 _____ (????) C:\Windows\system32\Drivers\TFsFltX64.sys
2015-08-27 17:51 - 2015-08-27 17:51 - 00038200 _____ (????) C:\Windows\system32\Drivers\TSSKX64.sys
2015-08-27 17:51 - 2015-08-27 17:51 - 00000000 ____D C:\Program Files\Common Files\Tencent
2015-08-27 17:39 - 2015-09-01 21:54 - 00000000 ____D C:\Program Files (x86)\SFK
2015-08-27 17:19 - 2015-08-27 17:19 - 00000000 ____D C:\Users\Public\QiYi
2015-08-27 17:08 - 2015-03-13 15:01 - 00000876 _____ C:\Windows\system32\Drivers\etc\hp.bak
2015-08-27 17:07 - 2015-08-27 17:07 - 00000000 ____D C:\Users\simm\AppData\Roaming\Browsers
2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Roaming\AnyProtectEx
2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Roaming\istartsurf
2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Roaming\mystartsearch
2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Roaming\VOPackage
2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Local\Crossbrowse
2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Local\globalUpdate
2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Local\gmsd_ru_005010072
2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Local\gmsd_ru_025010072
2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Local\Kometa
2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Local\SmartWeb
C:\Users\simm\AppData\Local\Temp\2oAf3279JonC.exe
C:\Users\simm\AppData\Local\Temp\3XsV6mSpfNBj.exe
C:\Users\simm\AppData\Local\Temp\7451F26549C653FE.exe
C:\Users\simm\AppData\Local\Temp\A88C4862FB2875EF.exe
C:\Users\simm\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\simm\AppData\Local\Temp\fsd9545.exe
C:\Users\simm\AppData\Local\Temp\fsdF53.exe
C:\Users\simm\AppData\Local\Temp\IQIYIsetup_l_huayukeji@kb006.exe
C:\Users\simm\AppData\Local\Temp\lite_installer.exe
C:\Users\simm\AppData\Local\Temp\mailruhomesearchvbm.exe
C:\Users\simm\AppData\Local\Temp\PCMgr_AndroidServer.exe
C:\Users\simm\AppData\Local\Temp\vuupc.exe
FirewallRules: [{5DBC9DD5-E2B2-4EBE-8CFB-FB1CDFE29AB0}] => (Allow) C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe
FirewallRules: [{F1500044-AD69-4415-A4B1-C6E8432C0EFB}] => (Allow) C:\Users\simm\AppData\Roaming\IQIYI Video\LStyle\GpUpdate.exe
FirewallRules: [{C551915B-9A87-4D81-837F-77DDB171BE70}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer.exe
FirewallRules: [{C4AAC762-5751-4612-AED9-820C2EAA7DFE}] => (Allow) C:\Users\simm\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe
FirewallRules: [{6411F02F-F16D-4A7D-A123-B7CFD1A05E41}] => (Allow) C:\IQIYI Video\LStyle\QyClient.exe
FirewallRules: [{5A2C37C1-EAE2-4AA1-87D3-A035236A7E01}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe
FirewallRules: [{863254CC-74D1-465C-ADAC-11463347A349}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe
FirewallRules: [{5CEFA02D-8582-4C6A-A267-8D11A810A82A}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe
FirewallRules: [{3E0A5E08-FE97-4BA9-9B1E-62B0ABAB7BCA}] => (Allow) C:\Users\simm\AppData\Roaming\IQIYI Video\GeePlayer\GpUpdate.exe
FirewallRules: [{51A5BB8A-65D8-4989-A193-DB95F322ADF5}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer\GeePlayer.exe
FirewallRules: [{B9872427-E870-4183-99B8-E86B993937C7}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{B0CA2924-1416-4E0A-81CA-6945F453BB1A}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{D07BC25E-250D-4940-9063-DD20AE3D266E}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe
FirewallRules: [{6477A15C-4F07-4061-8AE6-2D1562106DA8}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe
FirewallRules: [{493884FC-6C8C-47FE-B8E2-B8E8FE0A5152}] => (Allow) C:\IQIYI Video\LStyle\QyClient.exe
FirewallRules: [{0FF84782-42DF-41C6-89FE-6D357C580E94}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe
FirewallRules: [{7DEDDDD3-53F6-41AA-8C20-A9B95081AC26}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe
FirewallRules: [{2D2F03F1-39A8-4FAD-849B-FDDFDED6F67A}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe
FirewallRules: [{23FCAE58-6375-4D01-A3DB-311CBD96BE5E}] => (Allow) C:\Users\simm\AppData\Roaming\IQIYI Video\GeePlayer\GpUpdate.exe
FirewallRules: [{585F779E-0746-4E90-A17E-4C8F243BDE92}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer\GeePlayer.exe
FirewallRules: [{25CFBB6C-2FCF-4BA1-BEAF-7EC7EC21DD89}] => (Allow) C:\Users\simm\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe
FirewallRules: [{B1F8BF52-A7AE-470F-A43D-560E67A76B8C}] => (Allow) C:\IQIYI Video\LStyle\QyClient.exe
FirewallRules: [{D97E1600-5FB3-4A22-8215-1081A08BBBD0}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe
FirewallRules: [{C7ACAA0D-81D2-46B4-B82C-440488EF59CE}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe
FirewallRules: [{63E314B9-FC98-4189-973D-E0CA938C1A66}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe
FirewallRules: [{E7975388-BB7E-4F89-A31B-3169D97B826E}] => (Allow) C:\Users\simm\AppData\Roaming\IQIYI Video\GeePlayer\GpUpdate.exe
FirewallRules: [{F95B15E5-27DD-48BE-8279-77196DDBD569}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer\GeePlayer.exe
FirewallRules: [{6C175B11-B18F-4658-8268-40807475F5CB}] => (Allow) C:\Users\simm\AppData\Local\Temp\SOGOU_PINYIN_7.7.0.6444_6990.EXE
Task: {F9995DFA-FED4-45EE-9CE6-A5B902741D0C} - \{2EEA4EFD-1264-425A-93D9-52E4E00F0544} -> No File <==== ATTENTION
Task: {9878B516-0747-46D3-86CC-C950E4D02599} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION
Task: {60594EE2-E29F-4968-BFEC-A8F55CB0A069} - \WordSurfer Auto Updater 1.10.0.19 Pending Update -> No File <==== ATTENTION
Task: {2AFC55F8-C4F2-4F62-A86C-A73F70D4E264} - \WordSurfer Auto Updater 1.10.0.19 Core -> No File <==== ATTENTION
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

При обращении в вирлаб на newvirus@kaspersky.com предоставьте следующую информацию:

1. несколько зашифрованных файлов;

2. файл Readme.txt, оставленный шифровальщиком;

3. номер лицензии на установленный продукт.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Keldenis
      Вирус-шифровальщик. Сервер 1с.
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
    • boshs
      вирус шифровальщик UUUUUU.uuu
      Автор boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)

    • Olga650
      вирус шифровальщик (.1mJ3g1TA4)
      Автор Olga650
      Addition.txtFRST.txtТабель 2025 (.1mJ3g1TA4)  ссылка удалена облако с вирусом (без пароля)
      Отчёт Касперского.txt 1mJ3g1TA4.README.txt  Поймали вирус шифровальщик 26.02. Антивирус не стоял. После был установлен Касперский стандарт. Стандартные решения по расшифровке не помогли. Удалось найти несколько документов оригиналов, до шифровки и после.
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные файлы, а также ссылки на них.
       
    • boshs
      вирус шифровальщик UUUUUU.uuu
      Автор boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)
    • CreativeArch
      Вирус шифровальщик, можно ли восстановить файлы?
      Автор CreativeArch
      Log.7z
×
×
  • Создать...