Tensio 0 Опубликовано 22 сентября, 2015 Share Опубликовано 22 сентября, 2015 (изменено) Доброго времени суток. После открытия письма с почты файлы зашифровало в формат *=.8A60049BCDDA820CF9A6.xtblВозможно расшифровать файлы в нашем случае. Есть письмо с скриптом. Заранее благодарны.CollectionLog-2015.09.22-13.56.zip Изменено 22 сентября, 2015 пользователем Tensio Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 22 сентября, 2015 Share Опубликовано 22 сентября, 2015 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin QuarantineFile('C:\D&S\All Users\Application Data\Windows\csrss.exe',''); DeleteFile('C:\D&S\All Users\Application Data\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com. 1. В заголовке письма напишите "Запрос на исследование вредоносного файла". 2. В письме напишите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина и нажмите "Отправить" 4. Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи Автологгером. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Tensio 0 Опубликовано 22 сентября, 2015 Автор Share Опубликовано 22 сентября, 2015 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin QuarantineFile('C:\D&S\All Users\Application Data\Windows\csrss.exe',''); DeleteFile('C:\D&S\All Users\Application Data\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com. 1. В заголовке письма напишите "Запрос на исследование вредоносного файла". 2. В письме напишите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина и нажмите "Отправить" 4. Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи Автологгером. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Hello, This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. csrss.exe - Trojan-Ransom.Win32.Shade.ut New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help. Best Regards, Kaspersky Lab "39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com" FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 22 сентября, 2015 Share Опубликовано 22 сентября, 2015 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File Toolbar: HKU\S-1-5-21-583907252-1580436667-1801674531-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File CHR Extension: (No Name) - C:\D&S\Аня\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-06-25] 2015-09-21 12:03 - 2015-09-21 12:03 - 02359350 _____ C:\D&S\Аня\Application Data\2BFAF6D82BFAF6D8.bmp 2015-09-21 11:43 - 2015-09-22 19:44 - 00000000 __SHD C:\D&S\All Users\Application Data\Windows File: C:\D&S\Аня\Application Data\1.exe 2012-06-13 10:15 - 2012-06-18 11:00 - 0000311 _____ () C:\D&S\Аня\Application Data\1.exe [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem] Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
Tensio 0 Опубликовано 22 сентября, 2015 Автор Share Опубликовано 22 сентября, 2015 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File Toolbar: HKU\S-1-5-21-583907252-1580436667-1801674531-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File CHR Extension: (No Name) - C:\D&S\Аня\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-06-25] 2015-09-21 12:03 - 2015-09-21 12:03 - 02359350 _____ C:\D&S\Аня\Application Data\2BFAF6D82BFAF6D8.bmp 2015-09-21 11:43 - 2015-09-22 19:44 - 00000000 __SHD C:\D&S\All Users\Application Data\Windows File: C:\D&S\Аня\Application Data\1.exe 2012-06-13 10:15 - 2012-06-18 11:00 - 0000311 _____ () C:\D&S\Аня\Application Data\1.exe [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem] Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 22 сентября, 2015 Share Опубликовано 22 сентября, 2015 Коммерческая лицензия на наш антивирус у вас есть? Цитата Ссылка на сообщение Поделиться на другие сайты
Tensio 0 Опубликовано 22 сентября, 2015 Автор Share Опубликовано 22 сентября, 2015 да Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 22 сентября, 2015 Share Опубликовано 22 сентября, 2015 Для создания запроса на расшифровку нужна коммерческая лицензия на наш антивирус. Если у вас есть лицензия на наш антивирус, то тогда вам нужно написать письмо на newvirus@kaspersky.com. Структура вашего сообщения должна быть такой: 1. Несколько зашифрованных файлов в архиве. 2. Вложение из письма (желательно) 3. Номер вашей коммерческой лицензии (обязательно). 4. Файл Readme.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Tensio 0 Опубликовано 23 сентября, 2015 Автор Share Опубликовано 23 сентября, 2015 Для создания запроса на расшифровку нужна коммерческая лицензия на наш антивирус. Если у вас есть лицензия на наш антивирус, то тогда вам нужно написать письмо на newvirus@kaspersky.com. Структура вашего сообщения должна быть такой: 1. Несколько зашифрованных файлов в архиве. 2. Вложение из письма (желательно) 3. Номер вашей коммерческой лицензии (обязательно). 4. Файл Readme.txt извините, что за Файл Readme.txt ? Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 23 сентября, 2015 Share Опубликовано 23 сентября, 2015 Обычно 10 таких файлов создается на рабочем столе, а также в корне системного диска. Цитата Ссылка на сообщение Поделиться на другие сайты
Tensio 0 Опубликовано 23 сентября, 2015 Автор Share Опубликовано 23 сентября, 2015 Обычно 10 таких файлов создается на рабочем столе, а также в корне системного диска. нигде нет ( Без них есть надежда, и сколько примерно ждать ответа? Заранее благодарен. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 23 сентября, 2015 Share Опубликовано 23 сентября, 2015 Без них не думаю что смогут помочь. Хотя id вроде как встречается в конце имени зашифрованного файла. Цитата Ссылка на сообщение Поделиться на другие сайты
Tensio 0 Опубликовано 1 октября, 2015 Автор Share Опубликовано 1 октября, 2015 Без них не думаю что смогут помочь. Хотя id вроде как встречается в конце имени зашифрованного файла. Доброго времени суток. Подскажите пожалуйста, сколько по времени ждать ответа. Заранее благодарю. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 1 октября, 2015 Share Опубликовано 1 октября, 2015 Когда отправили запрос? Номер KLAN назовите. Цитата Ссылка на сообщение Поделиться на другие сайты
Tensio 0 Опубликовано 1 октября, 2015 Автор Share Опубликовано 1 октября, 2015 Когда отправили запрос? Номер KLAN назовите. KLAN-3158389902 23 сентября 2015, 09:51:31 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.