IMANHATEP 0 Опубликовано 27 ноября, 2015 Share Опубликовано 27 ноября, 2015 (изменено) Добрый день. После заражения черный экран, пишет ваши файлы были зашифрованы, все файлы стали с расширением .breaking_bad перепробовал кучу способов ничего не помогает. Откат не возможен , не в обычном не в безопасном режиме, пропали точки восстановления прилагаю скрин рабочего стола и установленного антивируса это несколько файлов зараженных в обменнике https://dropmefiles.com/urVmg CollectionLog-2015.11.27-05.11.zip Изменено 27 ноября, 2015 пользователем IMANHATEP Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 27 ноября, 2015 Share Опубликовано 27 ноября, 2015 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin QuarantineFile('C:\Users\Lenovo\AppData\Local\IVNsoft\TcpApiLibs.dll',''); QuarantineFile('C:\Users\Lenovo\AppData\Local\Odics\svrctrlMusic24.dll',''); QuarantineFile('C:\Users\Lenovo\AppData\Local\IVNsoft\A457E89A.exe',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); DeleteFile('C:\Users\Lenovo\AppData\Local\IVNsoft\A457E89A.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IVNsoft','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); DeleteFile('C:\Users\Lenovo\AppData\Local\Odics\svrctrlMusic24.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Odics','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Upmedia','command'); DeleteFile('C:\Users\Lenovo\AppData\Local\IVNsoft\TcpApiLibs.dll','32'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com. 1. В заголовке письма напишите "Запрос на исследование вредоносного файла". 2. В письме напишите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина и нажмите "Отправить" 4. Полученный ответ сообщите здесь (с указанием номера KLAN) Смените все пароли Сделайте новые логи Автологгером. Цитата Ссылка на сообщение Поделиться на другие сайты
IMANHATEP 0 Опубликовано 30 ноября, 2015 Автор Share Опубликовано 30 ноября, 2015 (изменено) ребят как понял новый сбор логером делать после того, как ответят с newvirus@kaspersky.com или прям сейчас и по поводу пофиксить, в инструкции указанно укажите строки, а какие именно ставить, или опять таки позже то что вы написали сделал и отослал и вот пришло письмо Re: Запрос на исследование вредоносного файла [KLAN-3398164387 Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected.С уважением, Лаборатория Касперского у меня вроде все отправлено и касперский не ругнулся Изменено 30 ноября, 2015 пользователем IMANHATEP Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 30 ноября, 2015 Share Опубликовано 30 ноября, 2015 или прям сейчас да. и по поводу пофиксить таких рекомендаций вам не давали Цитата Ссылка на сообщение Поделиться на другие сайты
IMANHATEP 0 Опубликовано 30 ноября, 2015 Автор Share Опубликовано 30 ноября, 2015 повторный лог CollectionLog-2015.11.30-12.58.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 30 ноября, 2015 Share Опубликовано 30 ноября, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
IMANHATEP 0 Опубликовано 30 ноября, 2015 Автор Share Опубликовано 30 ноября, 2015 готово Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 30 ноября, 2015 Share Опубликовано 30 ноября, 2015 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-3873001402-3271944274-3806578644-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=460d5b27ae33224f9eafd8d503beed30&text={searchTerms} HKU\S-1-5-21-3873001402-3271944274-3806578644-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=460d5b27ae33224f9eafd8d503beed30&text={searchTerms} SearchScopes: HKU\S-1-5-21-3873001402-3271944274-3806578644-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=460d5b27ae33224f9eafd8d503beed30&text={searchTerms} SearchScopes: HKU\S-1-5-21-3873001402-3271944274-3806578644-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=460d5b27ae33224f9eafd8d503beed30&text= CHR Extension: (Стартовая — Яндекс) - C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdkihdhlegcdggknokfekoemkjjnjhgi [2015-08-30] CHR HKLM\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx OPR Extension: (Dolka.ru) - C:\Users\Lenovo\AppData\Roaming\Opera Software\Opera Stable\Extensions\pheobeikgpfdjfnlnhinkcogflmkcmlc [2014-06-16] 2015-11-19 23:20 - 2015-11-30 04:09 - 00000000 ____D C:\Users\Lenovo\AppData\Local\Odics 2015-11-19 23:20 - 2015-11-27 03:41 - 00000000 ____D C:\Users\Lenovo\AppData\Local\IVNsoft 2015-11-19 23:17 - 2015-11-19 23:17 - 03148854 _____ C:\Users\Lenovo\AppData\Roaming\C46865E4C46865E4.bmp 2015-11-19 22:29 - 2015-11-23 17:11 - 00000000 __SHD C:\Users\Все пользователи\Windows 2015-11-19 22:29 - 2015-11-23 17:11 - 00000000 __SHD C:\ProgramData\Windows ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://poisk-googlee.ru" <==== ATTENTION ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://poisk-googlee.ru" <==== ATTENTION Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
IMANHATEP 0 Опубликовано 2 декабря, 2015 Автор Share Опубликовано 2 декабря, 2015 готово Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 2 декабря, 2015 Share Опубликовано 2 декабря, 2015 Пишите запрос => http://forum.kaspersky.com/index.php?showtopic=337288 В п.5 предоставьте: 1. Файл Readme.txt 2. Несколько зашифрованных файлов в архиве. Цитата Ссылка на сообщение Поделиться на другие сайты
IMANHATEP 0 Опубликовано 2 декабря, 2015 Автор Share Опубликовано 2 декабря, 2015 прошу прощения какой Readme.txt нужно приткнуть Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 2 декабря, 2015 Share Опубликовано 2 декабря, 2015 На рабочем столе который Цитата Ссылка на сообщение Поделиться на другие сайты
IMANHATEP 0 Опубликовано 3 декабря, 2015 Автор Share Опубликовано 3 декабря, 2015 (изменено) это который после заражения появился , с описанием типа кому что заплатить, верно? вот этот README1.txt Изменено 3 декабря, 2015 пользователем IMANHATEP Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 3 декабря, 2015 Share Опубликовано 3 декабря, 2015 Ну наверное, а что есть другой файл Readme.txt на рабочем столе? Цитата Ссылка на сообщение Поделиться на другие сайты
IMANHATEP 0 Опубликовано 3 декабря, 2015 Автор Share Опубликовано 3 декабря, 2015 уточнил а то мало ли )) тут столько операций нужно было сделать )) что может еще куда что то припрятолось)) их на рабочем столе штук 20 )) и еще прошу прощения по той ссылке как создавать , запрос вошел , пытаюсь посмотреть изображения , в пояснении как писать обращение , она меня отпинывает и пишет , несмотря на то что я авторизован и так не нашел где коды прикреплять, как раз по этой причине У Вас нет прав на использование данной функции. Возможно, что Вы не вошли под своим именем пользователя. Если это так, пожалуйста, сделайте это. все это решил и понял , что все эти коды совсем в другом месте , вот только там нужно буквенный код вносить а у меня файловый , он жесть короче , а не трабл пи... ц там нет моего продукта при обращении , это корпоративная версия... Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.