Ваши файлы были зашифрованны

[IMANHATEP]

Добрый день.

После заражения черный экран, пишет ваши файлы были зашифрованы, все файлы стали с расширением .breaking_bad

перепробовал кучу способов  ничего не помогает.

Откат не возможен  , не в обычном не в безопасном режиме, пропали точки восстановления

прилагаю скрин рабочего стола и установленного антивируса 

это несколько файлов зараженных в обменнике

https://dropmefiles.com/urVmg

 

CollectionLog-2015.11.27-05.11.zip

Изменено 27 ноября, 2015 пользователем IMANHATEP

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

 QuarantineFile('C:\Users\Lenovo\AppData\Local\IVNsoft\TcpApiLibs.dll','');

 QuarantineFile('C:\Users\Lenovo\AppData\Local\Odics\svrctrlMusic24.dll','');

 QuarantineFile('C:\Users\Lenovo\AppData\Local\IVNsoft\A457E89A.exe','');

 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');

 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');

 DeleteFile('C:\Users\Lenovo\AppData\Local\IVNsoft\A457E89A.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IVNsoft','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');

 DeleteFile('C:\Users\Lenovo\AppData\Local\Odics\svrctrlMusic24.dll','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Odics','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Upmedia','command');

 DeleteFile('C:\Users\Lenovo\AppData\Local\IVNsoft\TcpApiLibs.dll','32');

ExecuteSysClean;

RebootWindows(true);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Смените все пароли

 

Сделайте новые логи Автологгером. 

 

[IMANHATEP]

ребят как понял новый сбор логером делать после того, как ответят с newvirus@kaspersky.com

или прям сейчас

и по поводу пофиксить, в инструкции указанно укажите строки, а какие именно ставить, или опять таки позже 

то что вы написали сделал и отослал

и вот пришло письмо

Re: Запрос на исследование вредоносного файла [KLAN-3398164387

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected.

С уважением, Лаборатория Касперского

у меня вроде все отправлено и касперский не ругнулся

Изменено 30 ноября, 2015 пользователем IMANHATEP

[Roman_Five]

 

 

или прям сейчас

да.

и по поводу пофиксить

таких рекомендаций вам не давали

[IMANHATEP]

повторный лог

 

CollectionLog-2015.11.30-12.58.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[IMANHATEP]

готово

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

HKU\S-1-5-21-3873001402-3271944274-3806578644-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=460d5b27ae33224f9eafd8d503beed30&text={searchTerms}

HKU\S-1-5-21-3873001402-3271944274-3806578644-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=460d5b27ae33224f9eafd8d503beed30&text={searchTerms}

SearchScopes: HKU\S-1-5-21-3873001402-3271944274-3806578644-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=460d5b27ae33224f9eafd8d503beed30&text={searchTerms}

SearchScopes: HKU\S-1-5-21-3873001402-3271944274-3806578644-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=460d5b27ae33224f9eafd8d503beed30&text=

CHR Extension: (Стартовая — Яндекс) - C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdkihdhlegcdggknokfekoemkjjnjhgi [2015-08-30]

CHR HKLM\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx

OPR Extension: (Dolka.ru) - C:\Users\Lenovo\AppData\Roaming\Opera Software\Opera Stable\Extensions\pheobeikgpfdjfnlnhinkcogflmkcmlc [2014-06-16]

2015-11-19 23:20 - 2015-11-30 04:09 - 00000000 ____D C:\Users\Lenovo\AppData\Local\Odics

2015-11-19 23:20 - 2015-11-27 03:41 - 00000000 ____D C:\Users\Lenovo\AppData\Local\IVNsoft

2015-11-19 23:17 - 2015-11-19 23:17 - 03148854 _____ C:\Users\Lenovo\AppData\Roaming\C46865E4C46865E4.bmp

2015-11-19 22:29 - 2015-11-23 17:11 - 00000000 __SHD C:\Users\Все пользователи\Windows

2015-11-19 22:29 - 2015-11-23 17:11 - 00000000 __SHD C:\ProgramData\Windows

ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://poisk-googlee.ru"  <==== ATTENTION

ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://poisk-googlee.ru"  <==== ATTENTION

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

 

 

[IMANHATEP]

готово

Fixlog.txt

[mike 1]

Пишите запрос => http://forum.kaspersky.com/index.php?showtopic=337288

 

В п.5 предоставьте:

 

1. Файл Readme.txt

2. Несколько зашифрованных файлов в архиве.

[IMANHATEP]

прошу прощения какой Readme.txt нужно приткнуть

[mike 1]

На рабочем столе который

[IMANHATEP]

это который после заражения появился , с описанием типа кому что заплатить, верно?

вот этот

README1.txt

Изменено 3 декабря, 2015 пользователем IMANHATEP

[mike 1]

Ну наверное, а что есть другой файл Readme.txt на рабочем столе?

[IMANHATEP]

уточнил а то мало ли )) тут столько операций нужно было сделать )) что может еще куда что то припрятолось)) их на рабочем столе штук 20 ))

и еще прошу прощения по той ссылке как создавать , запрос вошел , пытаюсь посмотреть изображения , в пояснении как писать обращение , она меня отпинывает и пишет , несмотря на то что я авторизован и так не нашел где коды прикреплять, как раз по этой причине

У Вас нет прав на использование данной функции. Возможно, что Вы не вошли под своим именем пользователя. Если это так, пожалуйста, сделайте это.

все это решил и понял , что все эти коды совсем в другом месте , вот только там нужно буквенный код вносить а у меня файловый , он жесть короче , а не трабл

пи... ц там нет моего продукта при обращении , это корпоративная версия...