igorsumskiy 0 Опубликовано 2 сентября, 2015 Share Опубликовано 2 сентября, 2015 (изменено) Здравствуйте, нужна помощь в дешифровке файлов после заражения через вложение пришедшее по почте(файл Document_01092015.rar с вирусом прикрепляю, вдруг поможет). CollectionLog-2015.09.02-16.13.zip Изменено 2 сентября, 2015 пользователем mike 1 Карантин в теме. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 2 сентября, 2015 Share Опубликовано 2 сентября, 2015 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin QuarantineFile('C:\Documents and Settings\USER\Local Settings\Application Data\Uvwzmedia\lqjvecpx.dll',''); QuarantineFile('C:\Documents and Settings\USER\Local Settings\Application Data\Uvwzmedia\600ACBB5.exe',''); QuarantineFile('C:\Documents and Settings\USER\Local Settings\Application Data\Edbltion\ntmlivkv.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe',''); TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe'); QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe',''); TerminateProcessByName('c:\documents and settings\user\local settings\application data\uvwzmedia\600acbb5.exe'); QuarantineFile('c:\documents and settings\user\local settings\application data\uvwzmedia\600acbb5.exe',''); DeleteFile('c:\documents and settings\user\local settings\application data\uvwzmedia\600acbb5.exe','32'); DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe','32'); DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); DeleteFile('C:\Documents and Settings\USER\Local Settings\Application Data\Edbltion\ntmlivkv.dll','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Edbltion'); DeleteFile('C:\Documents and Settings\USER\Local Settings\Application Data\Uvwzmedia\600ACBB5.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Uvwzmedia'); DeleteFile('C:\Documents and Settings\USER\Local Settings\Application Data\Uvwzmedia\lqjvecpx.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','CDBurn'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Imhwsoft'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com. 1. В заголовке письма напишите "Запрос на исследование вредоносного файла". 2. В письме напишите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина и нажмите "Отправить" 4. Полученный ответ сообщите здесь (с указанием номера KLAN) Смените все пароли. Сделайте новые логи Автологгером. Цитата Ссылка на сообщение Поделиться на другие сайты
igorsumskiy 0 Опубликовано 2 сентября, 2015 Автор Share Опубликовано 2 сентября, 2015 Ответ: Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. lqjvecpx.dll,600ACBB5.exe,ntmlivkv.dllПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.csrss.exe - Trojan-PSW.Win32.Fareit.benoДетектирование файла будет добавлено в следующее обновление.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru" Номер KLAN-3102007726 CollectionLog-2015.09.02-17.22.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 2 сентября, 2015 Share Опубликовано 2 сентября, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
igorsumskiy 0 Опубликовано 2 сентября, 2015 Автор Share Опубликовано 2 сентября, 2015 Готово FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 2 сентября, 2015 Share Опубликовано 2 сентября, 2015 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKLM\...\Run: [] => [X] GroupPolicyScripts: Group Policy detected <======= ATTENTION FF NewTab: yafd:tabs CHR Extension: (No Name) - C:\Documents and Settings\USER\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2012-10-29] CHR Extension: (No Name) - C:\Documents and Settings\USER\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2012-10-29] CHR Extension: (No Name) - C:\Documents and Settings\USER\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2012-10-29] CHR Extension: (No Name) - C:\Documents and Settings\USER\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2013-09-05] CHR Extension: (No Name) - C:\Documents and Settings\USER\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-16] CHR Extension: (No Name) - C:\Documents and Settings\USER\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\nolfcdpljiemlidohklicdiiahdmppnk [2015-05-07] 2015-09-02 10:36 - 2015-09-02 10:36 - 04320054 _____ C:\Documents and Settings\USER\Application Data\7A090E4F7A090E4F.bmp C:\Documents and Settings\USER\Local Settings\Temp\600ACBB5.exe Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
igorsumskiy 0 Опубликовано 3 сентября, 2015 Автор Share Опубликовано 3 сентября, 2015 готово Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 3 сентября, 2015 Share Опубликовано 3 сентября, 2015 Компьютер почистили. Лаборатория Касперского оказывает индивидуальную помощь с этим шифровальщиком, поэтому для создания запроса на расшифровку нужна коммерческая лицензия на наш антивирус. Если у вас есть лицензия на наш антивирус, то тогда вам нужно написать письмо на newvirus@kaspersky.com. Структура вашего сообщения должна быть такой: 1. Несколько зашифрованных файлов в архиве. 2. Вложение из письма (желательно) 3. Номер вашей коммерческой лицензии (обязательно). 4. Файл Readme.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.