На другом ПК открыли заражённое письмо.

11 декабря, 2015

Admin_FO и как, помогло?

Пока держится.

ОС переустанавливал после форматирования всех дисков ПК.

На другом ПК открыли заражённое письмо.

Предупреждения на чёрном экране ещё нет, но некоторые файлы уже зашифрованы и так же на дисках несколько файлов Readme.txt с таким сообщением:

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

1FE91ECBF91EE77C0D51|0

на электронный адрес files1147@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

1FE91ECBF91EE77C0D51|0

to e-mail address files1147@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

Логи собрал.

С этим ПК переустановка не прокатит...

CollectionLog-2015.12.09-11.33.zip

11 декабря, 2015

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 SetServiceStart('QMUdisk', 4);
 SetServiceStart('TSSK', 4);
 SetServiceStart('TS888', 4);
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\psuser.dll','');
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\psmachine.dll','');
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdateres_en.dll','');
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdate.dll','');
 QuarantineFile('C:\Users\1\AppData\Local\Host installer\3570203222_installcube.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\26930\Updater.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\1\AppData\Roaming\Browsers\exe.emorhc.bat','');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 QuarantineFile('C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\cpuminer\sgminer\sgminer.cmd','');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QMUdisk.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\TS888.sys','32');
 DeleteFile('C:\Windows\system32\tssk.sys','32');
 DeleteFile('C:\Users\1\AppData\Roaming\cpuminer\sgminer\sgminer.cmd','32');
 DeleteFile('C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe','32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\1\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','32');
 DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','32');
 DeleteFile('C:\Users\1\AppData\Local\26930\Updater.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','32');
 DeleteFile('C:\Users\1\AppData\Local\Host installer\3570203222_installcube.exe','32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdate.dll','32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdateres_en.dll','32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\psmachine.dll','32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\psuser.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gpuminer');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg','command');
 DeleteService('QMUdisk');
 DeleteService('TS888');
 DeleteService('TSSK');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hp&ts=1438673061&z=8172c1326f7be54bded9f28g2z7c0b2q9mec3e2q9e&from=eit&uid=TOSHIBAXDT01ACA050_X3JSPMPASXXX3JSPMPASX
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=97951667_hao_pg
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hp&ts=1438673061&z=8172c1326f7be54bded9f28g2z7c0b2q9mec3e2q9e&from=eit&uid=TOSHIBAXDT01ACA050_X3JSPMPASXXX3JSPMPASX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oursurfing.com/web/?type=ds&ts=1438673061&z=8172c1326f7be54bded9f28g2z7c0b2q9mec3e2q9e&from=eit&uid=TOSHIBAXDT01ACA050_X3JSPMPASXXX3JSPMPASX&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oursurfing.com/web/?type=ds&ts=1438673061&z=8172c1326f7be54bded9f28g2z7c0b2q9mec3e2q9e&from=eit&uid=TOSHIBAXDT01ACA050_X3JSPMPASXXX3JSPMPASX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=97951667_hao_pg
O4 - HKLM\..\Run: [gpuminer] C:\Users\1\AppData\Roaming\cpuminer\sgminer\sgminer.cmd
O4 - Startup: csrss.lnk = C:\ProgramData\Windows\csrss.exe

Сделайте новые логи по правилам (только пункт 2).

+ логи FRST

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

11 декабря, 2015

В процессе.

Прошу прощения за дилетантский вопрос, но

[/b] логи FRST[/b]

Это что за логи?

Upd.: разобрался, делаю.

Изменено 11 декабря, 2015 пользователем Admin_FO

11 декабря, 2015

Отчёт ClearLNK ClearLNK-11.12.2015_11-01.log

Ответ портала Kaspersky Virus Desk:

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

sgminer.cmd

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

Новые логи: CollectionLog-2015.12.11-11.40.zip

Логи FRST: FRST.txt

Файл Addition: Addition.txt

На другом ПК открыли заражённое письмо.

Рекомендуемые сообщения

Admin_FO

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Admin_FO

Ссылка на комментарий

Поделиться на другие сайты

Admin_FO

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum