И у меня зашифрованы файлы AES256

[EIrina]

Все документы и главное фотографии - вся жизнь 

Расширение файлов не надо присылать?

Очень прошу о помощи! 

 

CollectionLog-2016.01.14-23.13.zip

ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\home\appdata\roaming\aspackage\uninstall.exe','');
 QuarantineFile('C:\Users\home\appdata\roaming\aspackage\aspackage.exe','');
 QuarantineFile('C:\Users\home\appdata\local\pricemeter\pricemeterd.exe','');
 QuarantineFile('C:\Users\home\AppData\Roaming\Browsers\exe.resworb.bat','');
 QuarantineFile('C:\Users\home\AppData\Local\EucoDrZlIPxyIwk\BUgfoH1.bat','');
 QuarantineFile('C:\Users\home\AppData\Local\ZetaGamesNews\zeta.exe','');
 QuarantineFile('C:\Program Files (x86)\ZetaGames\ZetaGames.exe','');
 QuarantineFile('C:\Users\home\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrlte.exe','');
 QuarantineFile('C:\Users\home\AppData\Local\storegid\storegidup.exe','');
 QuarantineFile('C:\Program Files (x86)\gmsd_ru_025010202\gmsd_ru_025010202.exe','');
 QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010206\gmsd_ru_005010206.exe','');
 QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010204\gmsd_ru_005010204.exe','');
 QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010202\gmsd_ru_005010202.exe','');
 QuarantineFile('C:\Users\home\AppData\Roaming\eTranslator\eTranslator.exe','');
 QuarantineFile('C:\Users\home\AppData\Roaming\OdnUqnxVqtAcmfpq4n\encrypter.exe','');
 DeleteService('wStLibG64');
 SetServiceStart('rowugoqo', 4);
 DeleteService('rowugoqo');
 SetServiceStart('HSystem', 4);
 DeleteService('HSystem');
 SetServiceStart('WindowsMangerProtect', 4);
 DeleteService('WindowsMangerProtect');
 TerminateProcessByName('c:\program files (x86)\mobogenie3\mobogenieservice.exe');
 TerminateProcessByName('c:\program files (x86)\mobogenie3\mobogeniehelper.exe');
 TerminateProcessByName('c:\programdata\tmp0x0x\protectwindowsmanager.exe');
 QuarantineFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe','');
 DeleteFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe','32');
 DeleteFile('C:\Windows\system32\drivers\wStLibG64.sys','32');
 DeleteFile('C:\Users\home\AppData\Roaming\OdnUqnxVqtAcmfpq4n\encrypter.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EncrypterEpta','command');
 DeleteFile('C:\Users\Default\AppData\Local\Amigo\Application\amigo.exe','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','amigo');
 DeleteFile('C:\Users\home\AppData\Roaming\eTranslator\eTranslator.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eTranslator Update','command');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_005010202\gmsd_ru_005010202.exe','32');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_005010204\gmsd_ru_005010204.exe','32');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_005010206\gmsd_ru_005010206.exe','32');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_025010202\gmsd_ru_025010202.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_025010202','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010206','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010204','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010202','command');
 DeleteFile('C:\Users\home\AppData\Local\storegid\storegidup.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegidUpdater','command');
 DeleteFile('C:\Users\home\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrlte.exe','32');
 DeleteFile('C:\Program Files (x86)\ZetaGames\ZetaGames.exe','32');
 DeleteFile('C:\Users\home\AppData\Local\ZetaGamesNews\zeta.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZetaGamesNews','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZetaGames','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Yahoo! Search','command');
 DeleteFile('C:\Users\home\AppData\Local\EucoDrZlIPxyIwk\BUgfoH1.bat','32');
 DeleteFile('C:\Users\home\AppData\Roaming\Browsers\exe.resworb.bat','32');
 DeleteFile('C:\Users\home\appdata\local\pricemeter\pricemeterd.exe','32');
 DeleteFile('C:\Users\home\appdata\roaming\aspackage\aspackage.exe','32');
 DeleteFile('C:\Users\home\appdata\roaming\aspackage\uninstall.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[EIrina]

Простите меня, но у меня нет в закаченных файлах avz.exe

есть папки Base, Log - но там нет этого файл

искала по поиску - результата нет

 

что я не так смотрю? 

[mike 1]

Вы архив с Автологгером распаковали?

[thyrex]

В папке Autologger все есть

[EIrina]

Да, распаковывала. Я же делала сборщик логов.

Я еще раз сейчас скачала, сделала. Но когда запустила - были в отчете

??????????

 

Сейчас еще попробую разок

что-то вроде получилось на этот раз

 

Re: [KLAN-3617264544]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.    

uninstall.exe,
exe.resworb.bat,
BUgfoH1.bat,
zeta.exe,
ZetaGames.exe,
eTranslator.exe,
protectwindowsmanager.exe
pricemeterd.exe
storegidup.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

aspackage.exe - not-a-virus:AdWare.Win32.Vopak.awbk
gmsd_ru_025010202.exe,
gmsd_ru_005010202.exe - not-a-virus:AdWare.Win32.Eorezo.feyg
gmsd_ru_005010204.exe - not-a-virus:AdWare.Win32.Eorezo.beay

Это файлы от рекламной системы. Детектирование файлов будет добавлено в    следующее обновление баз.

dsrlte.exe - not-a-virus:Downloader.Win32.Montiera.b

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

encrypter.exe - Trojan-Ransom.MSIL.Lortok.ep

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700   http://www.kaspersky.ruhttp://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.    

uninstall.exe,
exe.resworb.bat,
BUgfoH1.bat,
zeta.exe,
ZetaGames.exe,
eTranslator.exe,
protectwindowsmanager.exe
pricemeterd.exe
storegidup.exe

A set of unknown files has been received. They will be sent to the Virus Lab.

aspackage.exe - not-a-virus:AdWare.Win32.Vopak.awbk
gmsd_ru_025010202.exe,
gmsd_ru_005010202.exe - not-a-virus:AdWare.Win32.Eorezo.feyg
gmsd_ru_005010204.exe - not-a-virus:AdWare.Win32.Eorezo.beay

These files are Advertizing Tools, theirs detection will be included in the next    update of extended databases set.

dsrlte.exe - not-a-virus:Downloader.Win32.Montiera.b

New potentially risk software was found in this file. It's detection will be included in the next update. Thank you for your help.

encrypter.exe - Trojan-Ransom.MSIL.Lortok.ep

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700   http://www.kaspersky.comhttp://www.viruslist.com"

[thyrex]

Ждем новые логи и дополнительно запрошенный лог

[EIrina]

что-то сделала, опять в сомнениях , все-ли правильно

(сорри, я совсем девочка-чайник((

.

ClearLNK-15.01.2016_23-22.log

[mike 1]

Ещё ждём новые логи Автологгера.

[EIrina]

второй лог

ClearLNK-15.01.2016_23-34.log

[mike 1]

Это не тот лог. Логи нужны как в первом сообщении, но новые.

Изменено 15 января, 2016 пользователем mike 1

[EIrina]

вот

CollectionLog-2016.01.15-23.53.zip

[thyrex]

Сделайте лог полного сканирования МВАМ

[EIrina]

в процессе

правильно?

Malwarebytes.txt

[thyrex]

Удалите в МВАМ все найденное