Перейти к содержанию

И у меня зашифрованы файлы AES256


Рекомендуемые сообщения

Все документы и главное фотографии - вся жизнь:( 

Расширение файлов не надо присылать?

Очень прошу о помощи! 

 

CollectionLog-2016.01.14-23.13.zip

ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\home\appdata\roaming\aspackage\uninstall.exe','');
 QuarantineFile('C:\Users\home\appdata\roaming\aspackage\aspackage.exe','');
 QuarantineFile('C:\Users\home\appdata\local\pricemeter\pricemeterd.exe','');
 QuarantineFile('C:\Users\home\AppData\Roaming\Browsers\exe.resworb.bat','');
 QuarantineFile('C:\Users\home\AppData\Local\EucoDrZlIPxyIwk\BUgfoH1.bat','');
 QuarantineFile('C:\Users\home\AppData\Local\ZetaGamesNews\zeta.exe','');
 QuarantineFile('C:\Program Files (x86)\ZetaGames\ZetaGames.exe','');
 QuarantineFile('C:\Users\home\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrlte.exe','');
 QuarantineFile('C:\Users\home\AppData\Local\storegid\storegidup.exe','');
 QuarantineFile('C:\Program Files (x86)\gmsd_ru_025010202\gmsd_ru_025010202.exe','');
 QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010206\gmsd_ru_005010206.exe','');
 QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010204\gmsd_ru_005010204.exe','');
 QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010202\gmsd_ru_005010202.exe','');
 QuarantineFile('C:\Users\home\AppData\Roaming\eTranslator\eTranslator.exe','');
 QuarantineFile('C:\Users\home\AppData\Roaming\OdnUqnxVqtAcmfpq4n\encrypter.exe','');
 DeleteService('wStLibG64');
 SetServiceStart('rowugoqo', 4);
 DeleteService('rowugoqo');
 SetServiceStart('HSystem', 4);
 DeleteService('HSystem');
 SetServiceStart('WindowsMangerProtect', 4);
 DeleteService('WindowsMangerProtect');
 TerminateProcessByName('c:\program files (x86)\mobogenie3\mobogenieservice.exe');
 TerminateProcessByName('c:\program files (x86)\mobogenie3\mobogeniehelper.exe');
 TerminateProcessByName('c:\programdata\tmp0x0x\protectwindowsmanager.exe');
 QuarantineFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe','');
 DeleteFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe','32');
 DeleteFile('C:\Windows\system32\drivers\wStLibG64.sys','32');
 DeleteFile('C:\Users\home\AppData\Roaming\OdnUqnxVqtAcmfpq4n\encrypter.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EncrypterEpta','command');
 DeleteFile('C:\Users\Default\AppData\Local\Amigo\Application\amigo.exe','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','amigo');
 DeleteFile('C:\Users\home\AppData\Roaming\eTranslator\eTranslator.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eTranslator Update','command');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_005010202\gmsd_ru_005010202.exe','32');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_005010204\gmsd_ru_005010204.exe','32');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_005010206\gmsd_ru_005010206.exe','32');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_025010202\gmsd_ru_025010202.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_025010202','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010206','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010204','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010202','command');
 DeleteFile('C:\Users\home\AppData\Local\storegid\storegidup.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegidUpdater','command');
 DeleteFile('C:\Users\home\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrlte.exe','32');
 DeleteFile('C:\Program Files (x86)\ZetaGames\ZetaGames.exe','32');
 DeleteFile('C:\Users\home\AppData\Local\ZetaGamesNews\zeta.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZetaGamesNews','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZetaGames','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Yahoo! Search','command');
 DeleteFile('C:\Users\home\AppData\Local\EucoDrZlIPxyIwk\BUgfoH1.bat','32');
 DeleteFile('C:\Users\home\AppData\Roaming\Browsers\exe.resworb.bat','32');
 DeleteFile('C:\Users\home\appdata\local\pricemeter\pricemeterd.exe','32');
 DeleteFile('C:\Users\home\appdata\roaming\aspackage\aspackage.exe','32');
 DeleteFile('C:\Users\home\appdata\roaming\aspackage\uninstall.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

move.gif

 

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Простите меня, но у меня нет в закаченных файлах avz.exe

есть папки Base, Log - но там нет этого файл:(

искала по поиску - результата нет

 

что я не так смотрю? 

Ссылка на комментарий
Поделиться на другие сайты

Да, распаковывала. Я же делала сборщик логов.

Я еще раз сейчас скачала, сделала. Но когда запустила - были в отчете

??????????

 

Сейчас еще попробую разок


что-то вроде получилось на этот раз

 

Re: [KLAN-3617264544]
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.    

uninstall.exe,
exe.resworb.bat,
BUgfoH1.bat,
zeta.exe,
ZetaGames.exe,
eTranslator.exe,
protectwindowsmanager.exe
pricemeterd.exe
storegidup.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

aspackage.exe - not-a-virus:AdWare.Win32.Vopak.awbk
gmsd_ru_025010202.exe,
gmsd_ru_005010202.exe - not-a-virus:AdWare.Win32.Eorezo.feyg
gmsd_ru_005010204.exe - not-a-virus:AdWare.Win32.Eorezo.beay

Это файлы от рекламной системы. Детектирование файлов будет добавлено в    следующее обновление баз.

dsrlte.exe - not-a-virus:Downloader.Win32.Montiera.b

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

encrypter.exe - Trojan-Ransom.MSIL.Lortok.ep

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700   http://www.kaspersky.ruhttp://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.    

uninstall.exe,
exe.resworb.bat,
BUgfoH1.bat,
zeta.exe,
ZetaGames.exe,
eTranslator.exe,
protectwindowsmanager.exe
pricemeterd.exe
storegidup.exe

A set of unknown files has been received. They will be sent to the Virus Lab.

aspackage.exe - not-a-virus:AdWare.Win32.Vopak.awbk
gmsd_ru_025010202.exe,
gmsd_ru_005010202.exe - not-a-virus:AdWare.Win32.Eorezo.feyg
gmsd_ru_005010204.exe - not-a-virus:AdWare.Win32.Eorezo.beay

These files are Advertizing Tools, theirs detection will be included in the next    update of extended databases set.

dsrlte.exe - not-a-virus:Downloader.Win32.Montiera.b

New potentially risk software was found in this file. It's detection will be included in the next update. Thank you for your help.

encrypter.exe - Trojan-Ransom.MSIL.Lortok.ep

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700   http://www.kaspersky.comhttp://www.viruslist.com"
Ссылка на комментарий
Поделиться на другие сайты

Это не тот лог. Логи нужны как в первом сообщении, но новые. :)

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...