Вирус шифровальщик BREAKING_BAD

[Дмитрий Машинков]

 На электронную почту пришло письмо от Ростелекома со счетом, скачали счет, и все рабочие файлы за 7 лет (word, exel. фото, видео) зашифровались и стали иметь вид: I0yJc97W15eFj1JI1fzyETvupXhjflRANaQ-jDVS6aPmDAfFnPjS67aboW7XRLoG-wKySPPp7pf4kj4-jFgcRA==.F8739579568E1FA9A569.breaking_bad пришлите пожалуйста расшифровщик , текстового файла с просьбой о перечислении денег не пришло. С уважением Дмитрий

KL_syscure.zip

Изменено 18 декабря, 2015 пользователем Дмитрий Машинков

[mike 1]

Где еще тему создали?

[Дмитрий Машинков]

Где еще тему создали?

нигде, а что?

[Sandor]

По правилам этого форума нужен другой файл: Порядок оформления запроса о помощи

[Дмитрий Машинков]

все сделал согласно порядка оформления запроса, прикрепил нужный файл

По правилам этого форума нужен другой файл: Порядок оформления запроса о по

все сделал как просили

CollectionLog-2015.12.18-09.36.zip

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
 
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\programdata\tmp0x0x\protectwindowsmanager.exe');
 TerminateProcessByName('c:\program files\sfk\ssfk.exe');
 StopService('SSFK');
 StopService('WindowsMangerProtect');
 QuarantineFileF('c:\programdata\tmp0x0x', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFileF('c:\program files\sfk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe', '');
 QuarantineFile('c:\program files\sfk\ssfk.exe', '');
 DeleteFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe', '32');
 DeleteFile('c:\program files\sfk\ssfk.exe', '32');
 DeleteFileMask('c:\programdata\tmp0x0x', '*', true);
 DeleteFileMask('c:\program files\sfk', '*', true);
 DeleteDirectory('c:\programdata\tmp0x0x');
 DeleteDirectory('c:\program files\sfk');
 DeleteService('SSFK');
 DeleteService('WindowsMangerProtect');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
 

 
Компьютер перезагрузится. 
 
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com
 
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Дмитрий Машинков]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\programdata\tmp0x0x\protectwindowsmanager.exe');
 TerminateProcessByName('c:\program files\sfk\ssfk.exe');
 StopService('SSFK');
 StopService('WindowsMangerProtect');
 QuarantineFileF('c:\programdata\tmp0x0x', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFileF('c:\program files\sfk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe', '');
 QuarantineFile('c:\program files\sfk\ssfk.exe', '');
 DeleteFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe', '32');
 DeleteFile('c:\program files\sfk\ssfk.exe', '32');
 DeleteFileMask('c:\programdata\tmp0x0x', '*', true);
 DeleteFileMask('c:\program files\sfk', '*', true);
 DeleteDirectory('c:\programdata\tmp0x0x');
 DeleteDirectory('c:\program files\sfk');
 DeleteService('SSFK');
 DeleteService('WindowsMangerProtect');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
 

 

Компьютер перезагрузится. 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Все сделал, Файл quarantine.zip из папки с распакованной утилитой AVZ отправил отправьте по адресу newvirus@kaspersky.com

письмо не отправляется....пишет следующее:  

A message that you sent was rejected by the local scanning code that

checks incoming messages on this system. The following error was given:

 

  virus message discarded

[mike 1]

Делайте новые логи

[Дмитрий Машинков]

как и какие сделать новые логи? письма не отправляются....

Все отправил, на письмо с утилитой AVZ пришел ответ: KLAN-3498094537 Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

AdwCleaner[s1].txt

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

На письмо с Adw cleaner пришел ответ KLAN-3498095335  Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

ProtectWindowsManager.exe,
SSFK.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

Что делать сейчас?

Изменено 23 декабря, 2015 пользователем Дмитрий Машинков

[Sandor]

 

 

AdwCleaner[s1].txt

Этот файл приложите к следующему Вашему сообщению здесь, отправлять по адресу не нужно было.

[Дмитрий Машинков]

прикладываю

AdwCleanerS1.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Настройки отметьте дополнительно:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
 
Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите.
Подробнее читайте в этом руководстве.
 
 
2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
 
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

[Дмитрий Машинков]

1.

2.

2.

AdwCleanerC1.txt

AdwCleanerS2.txt

Addition_23-12-2015_16-35-14.txt

FRST_23-12-2015_16-35-14.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start

CreateRestorePoint:

2015-12-15 15:22 - 2015-12-16 14:37 - 00000000 __SHD C:\Users\Все пользователи\Windows

2015-12-15 15:22 - 2015-12-16 14:37 - 00000000 __SHD C:\ProgramData\Windows

2015-12-11 10:51 - 2015-12-16 14:15 - 00000000 ____D C:\Users\Дима\AppData\LocalLow\Unity

2015-12-11 10:51 - 2015-12-16 13:53 - 00000000 ____D C:\Users\Дима\AppData\Local\Unity

2015-12-11 10:50 - 2015-12-11 10:50 - 00000000 ____D C:\Users\Дима\AppData\Roaming\MailProducts

2015-12-11 08:20 - 2015-12-11 08:20 - 00000000 ____D C:\Users\Дима\AppData\Local\WindowsUpdate

2015-12-10 10:01 - 2015-12-10 10:01 - 00000000 ____H C:\Windows\system32\Drivers\Msft_User_WpdFs_01_09_00.Wdf

C:\Users\Дима\AppData\Local\Temp\siinst.exe

Reboot:

end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено 23 декабря, 2015 пользователем Sandor

[Дмитрий Машинков]

все сделал

Fixlog.txt