Поймал вирус-шифровальщик

[Evgeniy421]

Здравствуйте! Поймал вирус-шифровальщик. Он зашифровал файлы фотографий и *.xls документы. Зашифрованные файлы имеют название вида "email-panterra322@gmail.com.ver-CL 1.2.0.0.id-XYZABCCDEEFGHHHIJKLLLMNOPPQQRSSTUUVV-12.12.2015 12@21@094675716.randomname-HKMNPPPQRSTTUVVWXYYZAABCCDEEFG.HII"

И такие виды

email-panterra322@gmail.com.ver-CL 1.2.0.0.id-XYZABCCDEEFGHHHIJKLLLMNOPPQQRSSTUUVV-12.12.2015 12@21@094675716.randomname-NRSTVWWXYYZAABCCDEEFGGHIJJKKLM.NNO

Addition.txt

FRST.txt

[mike 1]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[Evgeniy421]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

CollectionLog-2015.12.17-15.47.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

 QuarantineFile('C:\Program Files (x86)\Squeaky Chocolate, LLC\UpdateChecker\UpdateCheckerApp.exe','');

 QuarantineFile('C:\Users\Динара\AppData\Roaming\LoadLeader\Updater.exe','');

 QuarantineFile('C:\Windows\system32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w64.sys','');

 DeleteService('{55dce8ba-9dec-4013-937e-adbf9317d990}w64');

 DeleteFile('C:\Windows\system32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w64.sys','32');

 DeleteFile('C:\Users\Динара\AppData\Roaming\LoadLeader\Updater.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LoadLeader','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');

 DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');

 DeleteFile('C:\Windows\system32\Tasks\LaunchApp','64');

ExecuteSysClean;

RebootWindows(true);

end.



 

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Сделайте новые логи Автологгером. 

[Evgeniy421]

Здраствуйте к сожалению выполнения скрипта не помогло расшифровки, новый лог 

CollectionLog-2015.12.18-12.36.zip

Изменено 18 декабря, 2015 пользователем Evgeniy421

[mike 1]

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

[Evgeniy421]

вот

AdwCleanerS1.txt

[mike 1]

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.