cnupra Опубликовано 16 сентября, 2015 Опубликовано 16 сентября, 2015 Добрый день, проблемы все файлы зашифрованы в XBLT (примерно 1lBnF15Hq1e7iwKBWCheRIxKPgNGTN3aDkm9QerPyWA=.xtbl) на компьютере много фотографий, помогите восстановить их. Сообщение от модератора Mark D. Pearlstone Перемещено из темы CollectionLog-2015.09.16-11.54.zip Addition.txt
mike 1 Опубликовано 16 сентября, 2015 Опубликовано 16 сентября, 2015 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin QuarantineFile('c:\programdata\{8b38b825-edf3-5b65-8b38-8b825edfe097}\hqghumeaylnlf.exe',''); DeleteFile('c:\programdata\{8b38b825-edf3-5b65-8b38-8b825edfe097}\hqghumeaylnlf.exe','32'); DeleteFile('C:\Windows\Tasks\Bidaily Synchronize Task[8da6].job','32'); DeleteFile('C:\Windows\Tasks\Superclean.job','32'); DeleteFile('C:\Windows\Tasks\WS-Enabler-S-1404196680.job','32'); DeleteFile('C:\Windows\system32\Tasks\Bidaily Synchronize Task[8da6]','32'); DeleteFile('C:\Windows\system32\Tasks\Superclean','32'); DeleteFile('C:\Windows\system32\Tasks\WS-Enabler-S-1404196680','32'); ExecuteSysClean; ExecuteWizard('TSW',2,3,true); RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com. 1. В заголовке письма напишите "Запрос на исследование вредоносного файла". 2. В письме напишите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина и нажмите "Отправить" 4. Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Сделайте новые логи Автологгером.
cnupra Опубликовано 16 сентября, 2015 Автор Опубликовано 16 сентября, 2015 выполнил по инструкциии, Получил сообщение KLAN-3142381427 - Этот файл повреждён (quarantine.zip) ! Снова делал CollectionLog-2015.09.16-14.26.zip
cnupra Опубликовано 16 сентября, 2015 Автор Опубликовано 16 сентября, 2015 Извините, здесь лог ClearLNK-16.09.2015_14-11.log AdwCleanerS2.txt
mike 1 Опубликовано 16 сентября, 2015 Опубликовано 16 сентября, 2015 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
cnupra Опубликовано 16 сентября, 2015 Автор Опубликовано 16 сентября, 2015 делал, очистка удаления отчет лог С2 AdwCleanerC2.txt
mike 1 Опубликовано 16 сентября, 2015 Опубликовано 16 сентября, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
cnupra Опубликовано 16 сентября, 2015 Автор Опубликовано 16 сентября, 2015 Все сделал, отчет лог FRST.txt Addition.txt
mike 1 Опубликовано 16 сентября, 2015 Опубликовано 16 сентября, 2015 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR HKU\S-1-5-21-819970021-1718511898-2389617347-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION Toolbar: HKU\S-1-5-21-819970021-1718511898-2389617347-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [mfmjpfoggikolkfilofbpgcnhdcgahib] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pfjgibhmcgncmjhdodpaolfbjpjjajal] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - hxxps://clients2.google.com/service/update2/crx S2 Updater.Mail.Ru; C:\Program Files\Mail.Ru\MailRuUpdater\MailRuUpdater.exe --s [X] 2015-07-01 13:29 - 2015-07-01 13:29 - 0000000 _____ () C:\Users\Дома\AppData\Roaming\ssleas.exe 2015-06-12 10:28 - 2015-06-12 10:28 - 6220854 _____ () C:\Users\Дома\AppData\Roaming\DAC768EADAC768EA.bmp 2015-06-06 07:27 - 2015-06-06 07:27 - 0442896 _____ () C:\Users\Дома\AppData\Roaming\data13.dat Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
cnupra Опубликовано 16 сентября, 2015 Автор Опубликовано 16 сентября, 2015 Выполнил по инструкции, здесь лог Fixlog.txt
mike 1 Опубликовано 16 сентября, 2015 Опубликовано 16 сентября, 2015 (изменено) Компьютер почистили. Лаборатория Касперского оказывает индивидуальную помощь с этим шифровальщиком, поэтому для создания запроса на расшифровку нужна коммерческая лицензия на наш антивирус. Если у вас есть лицензия на наш антивирус, то тогда вам нужно написать письмо на newvirus@kaspersky.com. Структура вашего сообщения должна быть такой: 1. Несколько зашифрованных файлов в архиве. 2. Сам шифровальщик (желательно) 3. Номер вашей коммерческой лицензии (обязательно). 4. Файл Readme.txt Изменено 16 сентября, 2015 пользователем mike 1
cnupra Опубликовано 16 сентября, 2015 Автор Опубликовано 16 сентября, 2015 К сожеланию был очистил, Спасибо за внимание.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти