ecioecio2 0 Опубликовано 14 сентября, 2015 Share Опубликовано 14 сентября, 2015 Здравствуйте, на моем ноутбуке все файлы офиса, музыка, видео, фотографии были зашифрованы в формат XTBL. На компьютере зашифровалась только часть. Когда заметил почистил компьютер от подозрительных файлов, но ноутбук не трогал и не включал. Вирус просит отправить код на почту для получения дальнейших указаний. Как мне кажется, все началось после скачивания и установки игры (на оба устройства). Логи отправляю с компьютера. CollectionLog-2015.09.14-00.36.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 14 сентября, 2015 Share Опубликовано 14 сентября, 2015 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin QuarantineFile('C:\Windows\System32\fvdnotify.exe',''); QuarantineFile('C:\Windows\Microsoft.NET\NETFX.exe',''); QuarantineFile('C:\Users\ДНС\AppData\Local\hvrtsnc.dll',''); QuarantineFile('C:\Users\ДНС\AppData\Roaming\cppredistx86.exe',''); DeleteFile('C:\Users\ДНС\AppData\Roaming\cppredistx86.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010'); DeleteFile('C:\Users\ДНС\AppData\Local\hvrtsnc.dll','32'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com. 1. В заголовке письма напишите "Запрос на исследование вредоносного файла". 2. В письме напишите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина и нажмите "Отправить" 4. Полученный ответ сообщите здесь (с указанием номера KLAN) Смените все пароли. Сделайте новые логи Автологгером. Цитата Ссылка на сообщение Поделиться на другие сайты
ecioecio2 0 Опубликовано 15 сентября, 2015 Автор Share Опубликовано 15 сентября, 2015 Запрос на исследование вредоносного файла [KLAN-3139387287] Hello, This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. fvdnotify.exe, NETFX.exe A set of unknown files has been received. They will be sent to the Virus Lab. Best Regards, Kaspersky Lab "39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com" CollectionLog-2015.09.15-22.11.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 15 сентября, 2015 Share Опубликовано 15 сентября, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
ecioecio2 0 Опубликовано 15 сентября, 2015 Автор Share Опубликовано 15 сентября, 2015 Отправляю файлы. Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 15 сентября, 2015 Share Опубликовано 15 сентября, 2015 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2788154430-381485610-1194288569-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/search HKU\S-1-5-21-2788154430-381485610-1194288569-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://webalta.ru/search HKU\S-1-5-21-2788154430-381485610-1194288569-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/search SearchScopes: HKU\S-1-5-21-2788154430-381485610-1194288569-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE FF NewTab: yafd:tabs 2015-09-11 14:48 - 2015-09-12 12:52 - 00000000 __SHD C:\Users\Все пользователи\Windows 2015-09-11 14:48 - 2015-09-12 12:52 - 00000000 __SHD C:\ProgramData\Windows File: C:\Windows\System32\fvdnotify.exe File: C:\Windows\Microsoft.NET\NETFX.exe Task: {D6D58695-0C66-46CE-9CB1-D80430E6D2EC} - \Microsoft\Windows\Location\splwow86 -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939 AlternateDataStreams: C:\ProgramData\TEMP:A5C00DEE AlternateDataStreams: C:\Users\Все пользователи\TEMP:A1EDB939 AlternateDataStreams: C:\Users\Все пользователи\TEMP:A5C00DEE AlternateDataStreams: C:\Users\ДНС\Local Settings:wa AlternateDataStreams: C:\Users\ДНС\AppData\Local:wa AlternateDataStreams: C:\Users\ДНС\AppData\Local\Application Data:wa Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
ecioecio2 0 Опубликовано 16 сентября, 2015 Автор Share Опубликовано 16 сентября, 2015 Скажите, а зашифрованные файлы возможно восстановить? Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 16 сентября, 2015 Share Опубликовано 16 сентября, 2015 (изменено) Коммерческая лицензия на наш антивирус есть? Изменено 16 сентября, 2015 пользователем mike 1 Цитата Ссылка на сообщение Поделиться на другие сайты
ecioecio2 0 Опубликовано 16 сентября, 2015 Автор Share Опубликовано 16 сентября, 2015 Да, активировал подписку у провайдера. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 16 сентября, 2015 Share Опубликовано 16 сентября, 2015 Пишите в техподдержку ЛК через личный кабинет. Цитата Ссылка на сообщение Поделиться на другие сайты
ecioecio2 0 Опубликовано 17 сентября, 2015 Автор Share Опубликовано 17 сентября, 2015 Хорошо, а что по поводу лечения? Еще стоит выполнить какие-нибудь действия? Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 17 сентября, 2015 Share Опубликовано 17 сентября, 2015 С лечением закончено. Цитата Ссылка на сообщение Поделиться на другие сайты
ecioecio2 0 Опубликовано 17 сентября, 2015 Автор Share Опубликовано 17 сентября, 2015 Большое спасибо. Теперь постараюсь быть бдительней. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.