Перейти к содержанию

Зашифровались файлы в формат XTBL


Рекомендуемые сообщения

Через Панель управления - Удаление программ (или через Revo) - удалите нежелательное ПО:

> Chrome Search
Advanced SystemCare 9
AVG Web TuneUp
Driver Booster 3.0
IObit Malware Fighter 3
IObit Uninstaller
Surfing Protection
TSearch


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\autorun.inf', '');
 QuarantineFile('C:\Users\никита м степа\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооgle Chrоme.lnk','');
 QuarantineFile('C:\Users\никита м степа\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехрlоrеr Вrоwsеr.lnk','');
 QuarantineFile('C:\Users\никита м степа\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Оpеra.lnk','');
 QuarantineFile('C:\Users\никита м степа\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk','');
 QuarantineFile('C:\Users\никита м степа\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk','');
 QuarantineFile('C:\Users\никита м степа\Desktop\Ореrа.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооgle Сhrome.lnk','');
 QuarantineFile('C:\Users\никита м степа\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk','');
 QuarantineFile('C:\Users\никита м степа\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk','');
 QuarantineFile('C:\Users\никита м степа\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Оpеrа.lnk','');
 QuarantineFile('C:\Users\никита м степа\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Маil.Ru.lnk','');
 QuarantineFile('C:\Users\никита м степа\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk','');
 QuarantineFile('C:\Users\никита м степа\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk','');
 QuarantineFile('C:\Users\никита м степа\Desktop\Оpеrа.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk','');
 QuarantineFile('C:\Users\никита м степа\AppData\Roaming\Browsers\exe.emorhc.bat','');
 QuarantineFile('C:\Users\никита м степа\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\никита м степа\AppData\Roaming\Browsers\exe.arepo.bat','');
 QuarantineFile('C:\Program Files\Google\chrome.bat','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\opera.bat','');
 QuarantineFile('C:\Program Files\application assistance\apphelper.exe','');
 DeleteFile('C:\Program Files\application assistance\apphelper.exe','32');
 DeleteFile('C:\Users\никита м степа\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\никита м степа\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 DeleteFile('C:\Users\никита м степа\AppData\Roaming\Browsers\exe.arepo.bat','32');
 DeleteFile('C:\Program Files\Google\chrome.bat','32');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\opera.bat','32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(4);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)


Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочками также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Smart Defrag 4



Проделайте следующее в безопасном режиме.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
S2 clr_optimization_v1.02; C:\Users\никита м степа\AppData\Roaming\nssm.exe [294912 2014-08-31] () [File not signed]
S2 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [2934048 2015-10-09] (IObit)
S2 AdvancedSystemCareService8; C:\Program Files\IObit\Advanced SystemCare 8\ASCService.exe [X]
R1 BDEnhanceBoost; C:\Windows\System32\DRIVERS\BDEnhanceBoost.sys [48328 2015-02-10] (Baidu)
R2 BDMNetMon; C:\Windows\System32\DRIVERS\BDMNetMon.sys [182088 2015-02-10] (Baidu)
R1 BDMWrench; C:\Windows\System32\DRIVERS\BDMWrench.sys [239432 2015-02-10] (Baidu)
R1 BdSandBox; C:\Windows\System32\DRIVERS\BdSandBox.sys [139784 2014-11-06] (Baidu)
S1 bd0001; system32\DRIVERS\bd0001.sys [X]
S1 bd0002; system32\DRIVERS\bd0002.sys [X]
2015-12-04 14:44 - 2015-12-04 14:44 - 00000000 ____D C:\Users\admin\AppData\Roaming\IObit
2015-12-04 14:44 - 2015-12-04 14:44 - 00000000 ____D C:\IObit
2015-11-20 18:41 - 2015-01-10 15:32 - 00109856 _____ (IObit) C:\Windows\system32\IObitSmartDefragExtension.dll
2015-11-20 18:41 - 2014-06-04 15:17 - 00031008 _____ (IObit) C:\Windows\system32\SmartDefragBootTime.exe
2015-11-20 18:41 - 2014-06-04 15:17 - 00018624 _____ (IObit) C:\Windows\system32\Drivers\SmartDefragDriver.sys
2015-12-04 15:42 - 2015-03-23 13:59 - 00000000 ____D C:\Program Files\IObit
2015-12-04 15:41 - 2015-03-19 19:14 - 00000000 ____D C:\Program Files\AVG Web TuneUp
2015-12-04 15:38 - 2015-03-23 13:59 - 00000000 ____D C:\Users\Все пользователи\ProductData
2015-12-04 15:38 - 2015-03-23 13:59 - 00000000 ____D C:\Users\Все пользователи\IObit
2015-12-04 15:38 - 2015-03-23 13:59 - 00000000 ____D C:\ProgramData\ProductData
2015-12-04 15:38 - 2015-03-23 13:59 - 00000000 ____D C:\ProgramData\IObit
2015-12-04 14:44 - 2015-04-09 16:57 - 00000000 ____D C:\Users\Default\AppData\Roaming\IObit
2015-12-04 14:44 - 2015-04-09 16:57 - 00000000 ____D C:\Users\Default User\AppData\Roaming\IObit
2015-12-01 15:19 - 2015-07-20 18:56 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-12-01 15:19 - 2015-07-20 18:56 - 00000000 __SHD C:\ProgramData\Windows
2015-11-30 16:35 - 2015-03-23 13:59 - 00000000 ____D C:\Users\никита м степа\AppData\Roaming\IObit
2015-11-23 14:02 - 2015-03-28 19:17 - 00000000 ____D C:\Users\никита м степа\AppData\Roaming\Obnovi Soft
2015-11-23 14:00 - 2015-05-08 20:47 - 00000000 ____D C:\Users\никита м степа\AppData\Roaming\TSearch
2015-11-20 18:41 - 2015-03-23 13:59 - 00000000 ____D C:\Program Files\Common Files\IObit
C:\Users\никита м степа\AppData\Local\Temp\BingBarSetup-Partner.exe
C:\Users\никита м степа\AppData\Local\Temp\ICReinstall_FlvPlayerSetup.exe
C:\Users\никита м степа\AppData\Local\Temp\yandex_1445442492987.exe
C:\Users\никита м степа\AppData\Local\Temp\yupdate-exec-yabrowser.exe
Task: {17B13004-520E-40DF-8996-E65C3B271FD6} - System32\Tasks\Driver Booster SkipUAC (никита м степа) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe
Task: {422A57E1-46F6-4B36-8A17-74EC881AEA6E} - System32\Tasks\ASC8_SkipUac_никита м степа => C:\Program Files\IObit\Advanced SystemCare 8\ASC.exe
Task: {661D967F-8456-4FF3-B20A-A5EC21B3638B} - System32\Tasks\{CFDD9D16-E66A-40FA-ACC9-E5AC474550C7} => pcalua.exe -a "C:\Program Files\IObit\Advanced SystemCare 8\SecurityHole_Backup\KB973688.exe" -d C:\Windows\system32 -c /quiet /norestart
Task: {7D2E6FA4-8C48-4CB1-B163-CBBE9784D2D4} - System32\Tasks\{3E11B32B-208D-4C3B-BE2F-F129A480E336} => pcalua.exe -a "C:\Program Files\IObit\Advanced SystemCare 8\SecurityHole_Backup\KB954430.exe" -d C:\Windows\system32 -c /quiet /norestart
FirewallRules: [{83649D5C-1462-4573-8C0C-6EFFAAC2702B}] => (Allow) C:\Program Files\Baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe
FirewallRules: [{D0A35042-7D66-4F79-8D15-BC8DA29E4FE9}] => (Allow) C:\Program Files\Baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe
FirewallRules: [{EF91F954-882C-4B06-A75D-665418D367B7}] => (Allow) C:\Program Files\Baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe
FirewallRules: [{F95D7909-222D-4ABF-8EBF-1F3725771FD9}] => (Allow) C:\Program Files\Baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe
FirewallRules: [{4BCA8CE0-B505-4847-9A42-152C7BCD6953}] => (Allow) C:\Program Files\Baidu\BaiduSd\3.0.0.4605\BaiduSd.exe
FirewallRules: [{99602A02-F55D-4BAB-A3DA-1E5357C5F140}] => (Allow) C:\Program Files\Baidu\BaiduSd\3.0.0.4605\BaiduSd.exe
FirewallRules: [{906542C1-2087-4E8F-998F-55D0879ACD30}] => (Allow) C:\Program Files\Baidu\BaiduSd\3.0.0.4605\BaiduSd.exe
FirewallRules: [{3E2A83BD-6C4B-416E-8757-C2EC52071736}] => (Allow) C:\Program Files\Baidu\BaiduSd\3.0.0.4605\BaiduSd.exe
FirewallRules: [{7F4D924F-092B-42A3-948E-EB97495B22A3}] => (Allow) C:\Program Files\Baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe
FirewallRules: [{3AA87499-F9E4-4814-A325-4FAA279899B5}] => (Allow) C:\Program Files\Baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe
FirewallRules: [{E9D5F595-A7CA-470D-9841-7B725D9C2604}] => (Allow) C:\Program Files\Baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe
FirewallRules: [{792EB7DD-3DB8-4AC1-967D-32CC7BC3083D}] => (Allow) C:\Program Files\Baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe
FirewallRules: [{604A5B43-0046-4B5F-B7BB-3EA59AF1F74F}] => (Allow) C:\Program Files\Baidu\BaiduSd\3.0.0.4605\BaiduSdUpdate.exe
FirewallRules: [{5B7C3FAA-7713-4D38-B8D8-E6EFEC2004AA}] => (Allow) C:\Program Files\Baidu\BaiduSd\3.0.0.4605\BaiduSdUpdate.exe
FirewallRules: [{B3B568AB-5619-4B77-83AD-7CC6F5E7969B}] => (Allow) C:\Program Files\Baidu\BaiduSd\3.0.0.4605\BaiduSdUpdate.exe
FirewallRules: [{B9250800-9F80-4AB8-BB43-2EA76615675B}] => (Allow) C:\Program Files\Baidu\BaiduSd\3.0.0.4605\BaiduSdUpdate.exe
FirewallRules: [{35A340B3-B57F-4D79-8147-F7F833CBACDE}] => (Allow) C:\Program Files\Baidu\BaiduSd\3.0.0.4605\BaiduSdBugRpt.exe
FirewallRules: [{908BCE42-5FFB-40D7-B6F9-3E5F0BB8F887}] => (Allow) C:\Program Files\Baidu\BaiduSd\3.0.0.4605\BaiduSdBugRpt.exe
FirewallRules: [{72FD4010-8D58-4DC5-8ED8-83D53E6C81C5}] => (Allow) C:\Program Files\Baidu\BaiduSd\3.0.0.4605\BaiduSdBugRpt.exe
FirewallRules: [{2D69AA6A-60E8-431F-A2D0-41459822B087}] => (Allow) C:\Program Files\Baidu\BaiduSd\3.0.0.4605\BaiduSdBugRpt.exe
FirewallRules: [{93A1460E-FEEF-4D07-A7AA-A643D02470D8}] => (Allow) C:\Program Files\Baidu\BaiduAn\4.0.0.5166\BaiduAnSvc.exe
FirewallRules: [{FF023D45-9397-45D9-BAFD-2BF7796FC28E}] => (Allow) C:\Program Files\Baidu\BaiduAn\4.0.0.5166\BaiduAnSvc.exe
FirewallRules: [{0EF4B221-2E34-4582-8226-A51906083E78}] => (Allow) C:\Program Files\Baidu\BaiduAn\4.0.0.5166\BaiduAnSvc.exe
FirewallRules: [{2510503F-C7CB-4AD2-A6E6-4DC3D0EED2FF}] => (Allow) C:\Program Files\Baidu\BaiduAn\4.0.0.5166\BaiduAnSvc.exe
FirewallRules: [{4842A691-FACE-4158-8923-FA30AC7E7552}] => (Allow) C:\Program Files\Baidu\BaiduAn\4.0.0.5166\BaiduAn.exe
FirewallRules: [{879BBDC9-F152-44AC-9E4B-D1868C728ACF}] => (Allow) C:\Program Files\Baidu\BaiduAn\4.0.0.5166\BaiduAn.exe
FirewallRules: [{6F2862EC-3ADB-4521-8C19-7B3C312C39E2}] => (Allow) C:\Program Files\Baidu\BaiduAn\4.0.0.5166\BaiduAn.exe
FirewallRules: [{24A0366B-5E96-44DB-A4B3-C2B74CFF92BF}] => (Allow) C:\Program Files\Baidu\BaiduAn\4.0.0.5166\BaiduAn.exe
FirewallRules: [{D2FC617A-3D1E-4AC4-8030-F049AC8175C0}] => (Allow) C:\Program Files\Baidu\BaiduAn\4.0.0.5166\BaiduAnTray.exe
FirewallRules: [{71335F7B-56C9-4850-A580-64A3B4DAC8EB}] => (Allow) C:\Program Files\Baidu\BaiduAn\4.0.0.5166\BaiduAnTray.exe
FirewallRules: [{96395174-C62F-4050-A08B-955B8B382D9F}] => (Allow) C:\Program Files\Baidu\BaiduAn\4.0.0.5166\BaiduAnTray.exe
FirewallRules: [{041D3E07-59D6-4C05-B111-BBDFA1B039CB}] => (Allow) C:\Program Files\Baidu\BaiduAn\4.0.0.5166\BaiduAnTray.exe
FirewallRules: [{D48F7FFA-757E-4E08-9728-ADEE5E0D0DCA}] => (Allow) C:\Program Files\Baidu\BaiduAn\4.0.0.5166\BaiduAnUpdate.exe
FirewallRules: [{008AC36D-47F3-46BA-9024-366AAB7155D4}] => (Allow) C:\Program Files\Baidu\BaiduAn\4.0.0.5166\BaiduAnUpdate.exe
FirewallRules: [{22F2A3A0-9230-494C-8352-1CA1436B12B6}] => (Allow) C:\Program Files\Baidu\BaiduAn\4.0.0.5166\BaiduAnUpdate.exe
FirewallRules: [{39F1478A-3B31-4CEE-A75F-39A858A88752}] => (Allow) C:\Program Files\Baidu\BaiduAn\4.0.0.5166\BaiduAnUpdate.exe
FirewallRules: [{1DB30687-C329-4207-A914-DCE5323260E4}] => (Allow) C:\Program Files\Baidu\BaiduAn\4.0.0.5166\BaiduAnBugRpt.exe
FirewallRules: [{E0C089C1-25A5-4194-952C-AFB65544632B}] => (Allow) C:\Program Files\Baidu\BaiduAn\4.0.0.5166\BaiduAnBugRpt.exe
FirewallRules: [{F5B56962-BACF-485A-B8E3-DA60F2FF715F}] => (Allow) C:\Program Files\Baidu\BaiduAn\4.0.0.5166\BaiduAnBugRpt.exe
FirewallRules: [{350F8E32-BE68-41A4-9839-4274763C3B35}] => (Allow) C:\Program Files\Baidu\BaiduAn\4.0.0.5166\BaiduAnBugRpt.exe
FirewallRules: [{E621027D-148A-435D-BE63-A7E2915BB131}] => (Allow) C:\program files\common files\baidu\bddownload\109\bddownloader.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Для контроля сделайте еще такой лог:

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

  • Подробнее читайте в руководстве Как подготовить лог UVS.
Ссылка на комментарий
Поделиться на другие сайты

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    
    ;uVS v3.86.7 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\109\BDCOMPROXY.DLL
    bl 72E60011AEBB26994353E6D52E1D1389 67144
    addsgn 71905392541F499A70C2AEB19BBC3601AEC6D8E602AE3B746D2E3B43AF8FB34023FF564F3E55623D0F846C7350164905480328724532762F2D77CCD0C706228C 64 baidu
     
    zoo %Sys32%\DRIVERS\BDSANDBOX.SYS
    bl 59E0587601FF044922A9190CC6C1A67D 139784
    addsgn 79132211B982F18DF42BF35842F8ECFAE946701588FA1F7885C3C5BC50D6A7A322172F7F3F55E9AA2A80849F461649FA7DDFA28254DA64042C7784CCC6062273 64 baidu
     
    zoo %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
    bl BC6D8C5D086CA5658D284554A9ECD3C6 48328
    addsgn 79132211B982F18DF42BF358FE05EDFAE946D87389FA1F7885C3C5BC50D647C623175B0E3E5591CC2B80849F461649FA7DDF42F855DA30752D77A42FC7062273 64 baidu
     
    zoo %Sys32%\DRIVERS\BD0004.SYS
    bl DDCF044527E1C849A3D724E0AC7E6013 183112
    addsgn 79132211B9CB807608D42B71DD88A90525FEF8CD488F3CF3903B34BE506EBD48201702BF36669F6CD47F849FE5DA4DF97DAAEFF994797C282E7753FF64CE2670 64 baidu
     
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.622\BAIDUPROTECT.EXE
    bl F1BEF1193E0DC57334DE95CC1A002882 1935976
    addsgn 1A6C7F9A5583EE8FF42B627DA804DEC9E975D9AE8FAC1FB4490F09709C1ABD80EF94FECF7B0E9D495FADD114AA95A5F2FE3B10AF49FE4223017380E604851FEB 8 baidu
     
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.622\BDLOGICUTILS.DLL
    bl 4992FD3141946EBD35A0DCB992A370EA 760200
    addsgn 71905392541F499A59D2AEB19BBC3601AEC6D8E602AE3B746D0E3B43AF8FB34023DB0F9BF2995185E74C7BBA2E8541EAB11324BE99167CE0E1BB24D6877537F3 64 baidu
     
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.622\SAFEBROWSERDLL.DLL
    bl 1C3FF7A22A0654A9DE1EC5101760EDF2 336712
    addsgn 71905392541F499A6FD0AEB19BBC3601AEC6D8E602AE3B746D0E3B43AF8FB34023DB0F9BF2995185E74C4853C52BC58E79CFE806788F3BC0AE9BACAC23FEFF6F 64 baidu
     
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.622\BDMREPORT.DLL
    bl 56C785C8FFBA10642453569DDDB1EA4A 1091976
    addsgn 71905392541F499AE7D2AEB19BBC3601AEC6D8E602AE3B746D0E3B43AF8FB34023DB3C7222119059D4A5A4DB4B06B6DF599BE562AAFF986820675B0AEB422F63 64 baidu
     
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.622\BDMNET.DLL
    bl 000345FAFA8DF03ECC865F8D5F20FAF9 1231240
    addsgn 71905392541F499AF7D7AEB19BBC3601AEC6D8E602AE3B746D0E3B43AF8FB34023DB3C7236309059E74C48538ADA8536B11324BEAAFFAC49206768E30BCAEEBF 64 baidu
     
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.622\BDSGBUGRPT.EXE
    bl 77BFE0A494D5397A9F637CCE2B52B747 785000
    addsgn 1A64719A5583768FF42B624E4108014D25E27DE2CCFA7B87B0C3C5BC505D3568339EAF732ED8F16D3BAB64CC1041E8821795E843102683E97DFEC1C73873DAF8 8 baidu
     
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\109\BDDOWNLOADER.EXE
    bl FA0754BCDE5D98FDEE174F8F44DE42D8 1517256
    addsgn 1A70BE9A55835B8CF42B69B06C9B5805CC0D400976AC948942C5CDEF1AD699359FE83CA17A7195485F87D27768ADB60524542E2C97DEB07A7AFCD80BCB8D6577 8 baidu
     
    delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\4.0.0.5166\BAIDUANTRAY.EXE
    delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\3.0.0.4605\BAIDUSDTRAY.EXE
    addsgn 79132211B982F18DF42BF358C536EDFAE9D6FCB2899F1F0E85AAC5DF50B371102355C3133E139D202BEC84FA465F49947DACE80255BFB04F2D03A47FC7692201 64 Baidu
     
    zoo %Sys32%\DRIVERS\BDFILEDEFEND.SYS
    bl 6C7A23D64565591E9BBC204EC3917CAC 26824
    addsgn 79132211B982F18DF42BF358B03BEDFAE9466C978BFA1F7885C3C5BC50D64D2821170B373F556D292980849F461649FA7DDFE81757DA984C2C77804EC5062273 64 Baidu
     
    zoo %Sys32%\DRIVERS\BDMNETMON.SYS
    bl 29E0700A66226B130D10DD38BEDB087E 182088
    addsgn 79132211B982F18DF42BF358441BEEFAE946BCA48AFA1F7885C3C5BC50D60516201763123F55AD1B2880849F461649FA7DDF2A2856DA20692C77847DC4062273 64 Baidu
     
    zoo %Sys32%\DRIVERS\BDMWRENCH.SYS
    bl C828D1030C391FFA4A7D82CE5843094A 239432
    addsgn 79132211B982F18DF42BF358546AEDFAE946B44F89FA1F7885C3C5BC50D6F58D23176BDA3E55ADF02B80849F461649FA7DDF12B355DA20A12D778496C7062273 64 Baidu
     
    zoo %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
    bl F9130E6893536A08DE9938DBE3F084EE 62664
     
    deldir %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU
    deldir %SystemDrive%\PROGRAM FILES\BAIDU
    
    chklst
    delvir
     
    regt 28
    regt 29
    czoo
    restart
    
     
    
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте на этот почтовый ящик: newvirus@kaspersky.com

     

    Полученный ответ сообщите здесь (с указанием номера KLAN)

  • Подробнее читайте в этом руководстве.

 

Повторите полный образ автозапуска для контроля.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

При попытке выполнить скрипт выдает ошибку: Текст скрипта содержит ошибки, либо не содержит команд uVS, выполнение таких скриптов запрещено!

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...