Вирус зашифровал фотографии и текстовые документы документы email-gerkaman@aol.com

[Вован Свидерский]

Вирус зашифровал фотографии и они теперь стали называться email-gerkaman@aol.com.ver-CL 1.0.0.0.id-IJJKLLMNOPPPQRSTTTUVWXYYYZABBCCDEFFG-08.09.2015 10@50@484955357.randomname-KKLMNOOPQRSSTTUVWXXXYZABBBCDEF.GGH

 из-за чего произошло, незнаю. 

[thyrex]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[Вован Свидерский]

вот прикрепил лог

CollectionLog-2015.10.17-12.49.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe','');
DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.
  
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
   
  
   
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  
• Прикрепите этот отчет к своему следующему сообщению.
  

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

[Вован Свидерский]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

timetasks.exe - not-a-virus:Downloader.Win32.Agent.ecsx

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

KLAN-3260700514

ClearLNK-17.10.2015_14-01.log

CollectionLog-2015.10.17-14.25.zip

Изменено 17 октября, 2015 пользователем Вован Свидерский

[thyrex]

Сделайте лог полного сканирования МВАМ

[Вован Свидерский]

вот лог, так или не так? а то с инструкцией не совпадало у меня

kju.txt

лог.txt

Изменено 18 октября, 2015 пользователем Вован Свидерский

[thyrex]

Удалите в МВАМ только

Значения реестра: 1
PUM.LowRiskFileTypes, HKU\S-1-5-21-1223956480-4158192031-4264258596-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LowRiskFileTypes, .zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.mdb;, , [a4667ade1477c67037397d0900028779]


Файлы: 35
PUP.Optional.MediaGet, C:\Users\пк\Downloads\MediaGet_id3627552ids2s.exe, , [6aa040185833db5ba9405ee899678977], 
PUP.Optional.ZaxarGames, C:\ProgramData\TimeTasks\TimeTasksSetup.exe, , [e92178e04f3c59ddb877c03e81809967], 
PUP.Optional.Etranslator, C:\TEMP\0E1E61EA-68FB-4804-9A8C-97BAC4F28489.exe, , [7d8d2533aae10333500a60c2d32ef40c], 
PUP.Optional.LoadMoney, E:\dl.exe, , [0bffe1771d6e9f9717a2e40b9f640000], 
PUP.Optional.InstallCore, E:\$RECYCLE.BIN\S-1-5-21-4218416994-1005129268-3198852616-1000\$RTM7QWE.exe, , [df2bfb5ded9e71c58f325900f30ede22], 
PUP.Optional.BrowserHijack.ShrtCln, C:\Program Files (x86)\Opera\opera.bat, , [b1590a4e404b12247ad8bbbf8c76c13f], 
PUP.Optional.BrowserHijack.ShrtCln, C:\Program Files (x86)\Internet Explorer\iexplore.bat, , [9c6e322695f66accd4f43446a959b749], 

[Вован Свидерский]

а расшифровать файлы возможно или нет?

[thyrex]

Всякое может быть

 

Выполняйте инструкции

[Вован Свидерский]

Удалил, вот новый лог

лог1.txt

[thyrex]

Прислать образец небольшого зашифрованного файла (документ Office, картинку) в архиве можете?

 

+ Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[Вован Свидерский]

зашифрованные файлы и отчет, как просили

фото.rar

FRST.txt

[thyrex]

Лог Addition.txt не прислали

[Вован Свидерский]

вот, извините

Addition.txt