Перейти к содержанию

Все файлы зашифровались


Рекомендуемые сообщения

По собственной глупости скачала и запустила с почты файл с расширением .exe. Очень надеюсь, что поможете и мне не придется ночевать на работе! Т.к. комп, где хранились копии недавно сломался и файлы за 6 лет работы испарились. Выкладываю скан экрана и файл протоколов (логов). 

post-36468-0-55638500-1448191224_thumb.jpg

post-36468-0-02620400-1448191235_thumb.jpg

CollectionLog-2015.11.22-13.12.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\Video Saver\Ilmia6N.exe','');
QuarantineFile('C:\Program Files\advPlugin\F0exC82.exe.exe','');
DelBHO('{3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6}');
QuarantineFile('C:\Program Files\VK Downloader\IEEF\AUpYPqSCkk.dll','');
DeleteService('MaintainerSvc3.37.554636');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\d9ce53a2-5b0a-4d8e-9021-3efb72b12cd5\maintainer.exe','');
DeleteService('Util Whilokii');
DeleteService('Update Whilokii');
QuarantineFile('C:\Program Files\Whilokii\bin\utilWhilokii.exe','');
QuarantineFile('C:\Program Files\Whilokii\updateWhilokii.exe','');
DeleteFile('C:\Program Files\Whilokii\updateWhilokii.exe','32');
DeleteFile('C:\Program Files\Whilokii\bin\utilWhilokii.exe','32');
DeleteFile('C:\Documents and Settings\All Users\Application Data\d9ce53a2-5b0a-4d8e-9021-3efb72b12cd5\maintainer.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','77Zip973867.exe');
DeleteFile('C:\Program Files\VK Downloader\IEEF\AUpYPqSCkk.dll','32');
DeleteFile('C:\Program Files\advPlugin\F0exC82.exe.exe','32');
DeleteFile('C:\WINDOWS\Tasks\Update Service for advPlugin.job','32');
DeleteFile('C:\WINDOWS\Tasks\Update Service for advPlugin2.job','32');
DeleteFile('C:\WINDOWS\Tasks\Update Service for Video Saver 2.job','32');
DeleteFile('C:\WINDOWS\Tasks\Update Service for Video Saver 22.job','32');
DeleteFile('C:\WINDOWS\Tasks\Update Service for Video Saver.job','32');
DeleteFile('C:\Program Files\Video Saver\Ilmia6N.exe','32');
DeleteFile('C:\WINDOWS\Tasks\Update Service for Video Saver2.job','32');
DeleteFile('C:\WINDOWS\Tasks\Update Service for VK Downloader.job','32');
DeleteFile('C:\WINDOWS\Tasks\Update Service for VK Downloader2.job','32');
DeleteFile('C:\WINDOWS\Tasks\Recovery Tool for Video Saver 2.job','32');
DeleteFile('C:\WINDOWS\Tasks\Recovery Tool for Video Saver 22.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Ответ на письмо:

 

Re: [KLAN-3376080012]

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. 

quarantine.zip

This file is corrupted.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

 

Просканировала, новые логи предоставляю:

CollectionLog-2015.11.23-08.15.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{FBE88A10-FF53-11E0-AB2A-AE904824019B}\InprocServer32 -> C:\DOCUME~1\user\LOCALS~1\APPLIC~1\ASKTOO~1\DOWNLO~1\AVIRAI~1.DLL => No File
ShortcutWithArgument: C:\Documents and Settings\user\Главное меню\Программы\Вконтакте.lnk -> C:\Documents and Settings\user\Local Settings\Application Data\Amigo\Application\vk.exe () -> hxxp://r.mail.ru/n137259054 <==== ATTENTION
ShortcutWithArgument: C:\Documents and Settings\user\Главное меню\Программы\Одноклассники.lnk -> C:\Documents and Settings\user\Local Settings\Application Data\Amigo\Application\ok.exe () -> hxxp://r.mail.ru/n137259047 <==== ATTENTION
ShortcutWithArgument: C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\WINDOWS\system32\cmd.exe (Корпорация Майкрософт) ->  /c start "" "hxxp://onzerve.ru/?utm_source=startlink03&utm_term=BB84703618C3348C2C4C1207DCA8E39F" <==== ATTENTION
ShortcutWithArgument: C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://www.mail.ru/cnt/8136 <==== ATTENTION
ShortcutWithArgument: C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk -> C:\Documents and Settings\user\Local Settings\Application Data\Amigo\Application\vk.exe () -> hxxp://r.mail.ru/n137259063 <==== ATTENTION
ShortcutWithArgument: C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk -> C:\Documents and Settings\user\Local Settings\Application Data\Amigo\Application\ok.exe () -> hxxp://r.mail.ru/n137259061 <==== ATTENTION
AlternateDataStreams: C:\Documents and Settings\user:id
HKU\S-1-5-18\...\RunOnce: [Del2809281] => cmd.exe /Q /D /c del "C:\Temp\0.del" <===== ATTENTION
HKU\S-1-5-18\...\RunOnce: [Del2779203] => cmd.exe /Q /D /c del "C:\Temp\0.del" <===== ATTENTION
HKU\S-1-5-21-329068152-879983540-725345543-1003\...\Run: [aytyheyykq] => "http://onzerve.ru/?utm_source=uoua03&utm_content=7a6a4678a1d50253790e9906ef30fe8e&utm_term=BB84703618C3348C2C4C1207DCA8E39F"
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://rts.dsrlte.com/?m=tab&affID=na" <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Toolbar: HKU\S-1-5-21-329068152-879983540-725345543-1003 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Toolbar: HKU\S-1-5-21-329068152-879983540-725345543-1003 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
FF Extension: No Name -  C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
FF Extension: Popup Currency Calculator - C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{1B1F6171-E8D6-4F5F-9778-3009CC2748E2} [2015-06-10] [not signed]
FF Extension: Popup Currency Converter - C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{1FE48F08-A2AC-44AC-A21C-0556D91C50DA} [2015-03-10] [not signed]
FF Extension: VK Downloader - C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6} [2015-08-25] [not signed]
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\firefox-branding.js [2010-01-16]
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\firefox-l10n.js [2010-01-16]
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\firefox.js [2010-01-16]
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\reporter.js [2010-01-16]
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=blackbear16",
   "hxxp://onzerve.ru/?utm_content=7d42d5e2258c028ba9e006578490dfb8&utm_source=startpm&utm_term=BB84703618C3348C2C4C1207DCA8E39F"
 
CHR NewTab: Default -> "chrome-extension://bpgangmffjcofiknibcmfjionicohfgj/visual-bookmarks.html",
    "chrome-extension://gndaciceccgapjhpniecknjlmmlanaem/visual-bookmarks.html",
    "chrome-extension://kppacdmmddediahklmcgkgdhhoojemmd/visual-bookmarks.html"
  
2015-11-20 08:26 - 2015-11-20 09:53 - 0000080 _____ () C:\Program Files\WHLLZNVSTG.URY
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...