Зашифрованы файлы

[qwuantum]

Зашифрованы все графические и офисные файлы. На рабочем столе текст с содержанием:

 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

8674BD05DC2556C280A8|0

на электронный адрес files000001@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

8674BD05DC2556C280A8|0

to e-mail address files000001@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

 

Перед созданием логов переименовал папку C:\Users\Пользователь\AppData\Local\Adjworks в C:\Users\Пользователь\AppData\Local\Adjworks.BAN.

 

Помогите расшифровать.

 

Видел похожую проблему на форуме. Прикреплю еще логи Farbar

CollectionLog-2016.01.23-19.03.zip

Addition.txt

FRST.txt

Изменено 23 января, 2016 пользователем qwuantum

[Roman_Five]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\ProgramData\AvPgcd\YWwcrwUYR2.bat','');
 QuarantineFile('C:\ProgramData\AwOQmvRdaqnHpc\XLktuYVAelXO5.bat','');
 QuarantineFile('C:\ProgramData\OLC\AHJcAXLwz0.bat','');
 QuarantineFile('C:\Users\Пользователь\AppData\Local\Adjworks\lxhnuwrs.dll','');
 QuarantineFile('C:\Users\Пользователь\AppData\Local\Adjworks\71F8C9CC.exe','');
 QuarantineFile('C:\Users\Пользователь\AppData\Local\Ivfssoft\ssnwevvp.dll','');
 DeleteFile('C:\Users\Пользователь\AppData\Local\Ivfssoft\ssnwevvp.dll','32');
 DeleteFile('C:\Users\Пользователь\AppData\Local\Adjworks\71F8C9CC.exe','32');
 DeleteFile('C:\Users\Пользователь\AppData\Local\Adjworks\lxhnuwrs.dll','32');
 DeleteFile('C:\ProgramData\OLC\AHJcAXLwz0.bat','32');
 DeleteFile('C:\ProgramData\AwOQmvRdaqnHpc\XLktuYVAelXO5.bat','32');
 DeleteFile('C:\ProgramData\AvPgcd\YWwcrwUYR2.bat','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ivfssoft');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adjworks');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YblkPack');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - HKCU\..\Run: [Adjworks] C:\Users\Пользователь\AppData\Local\Adjworks\71F8C9CC.exe
O4 - HKCU\..\Run: [Ivfssoft] regsvr32.exe C:\Users\Пользователь\AppData\Local\Ivfssoft\ssnwevvp.dll
O4 - HKCU\..\Run: [YblkPack] C:\Windows\System32\regsvr32.exe C:\Users\Пользователь\AppData\Local\Adjworks\lxhnuwrs.dll

 

Сделайте новые логи по правилам (только пункт 2).

+
2 лога FRST 
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696
 

[qwuantum]

Отчет о работе ClearLNK-<Дата>.log

Re: [VirLabSRF][VD][undetected malware sample][M:1][LN:ru][L:0] [KLAN-3648965947]

newvirus@kaspersky.com

Кому: vav_ua@mail.ru

 

сегодня, 20:29

 

 

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

AHJcAXLwz0.bat,
ssnwevvp.dll

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. 

AHJcAXLwz0.bat,
ssnwevvp.dll

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"


--------------------------------------------------------------------------------
Sent: 1/23/2016 6:27:03 PM
To: newvirus@kaspersky.com
Subject: [VirLabSRF][VD][undetected malware sample][M:1][LN:ru][L:0]

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii"><p>LANG: ru</p><p>email: vav_ua@mail.ru</p><p>uploaded files: Quarantine.zip</p>

 

Сообщение от модератора Mark D. Pearlstone

Адрес почты пользователя удалён.

ClearLNK-23.01.2016_19-58.log

[thyrex]

Новые логи по правилам + дополнительно запрошенные логи где?

[qwuantum]

Новые логи по правилам + дополнительно запрошенные логи где?

Нетбук медленный. Делаю логи...

Вот логи:

CollectionLog-2016.01.23-20.49.zip

Addition.txt

FRST.txt

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-4285474391-3461903543-2734246760-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-4285474391-3461903543-2734246760-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
2016-01-23 19:27 - 2016-01-18 14:48 - 00048128 _____ C:\Users\Пользователь\AppData\Local\71F8C9CC.exe
2016-01-18 14:49 - 2016-01-23 20:07 - 00000000 ____D C:\Users\Пользователь\AppData\Local\Ivfssoft
2016-01-18 14:48 - 2016-01-18 14:49 - 00000000 ____D C:\Users\Пользователь\AppData\Local\Adjworks.BAN
2016-01-18 14:47 - 2016-01-18 14:47 - 03148854 _____ C:\Users\Пользователь\AppData\Roaming\E63005D0E63005D0.bmp
2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README9.txt
2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README8.txt
2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README7.txt
2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README6.txt
2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README5.txt
2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README4.txt
2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README3.txt
2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README2.txt
2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README10.txt
2015-10-25 15:35 - 2016-01-18 14:42 - 00000000 ____D C:\Users\Все пользователи\ContentDefender
2015-10-25 15:35 - 2016-01-18 14:42 - 00000000 ____D C:\ProgramData\ContentDefender
2015-10-25 15:35 - 2015-12-03 23:17 - 00000000 ____D C:\Program Files\Zaxar
2015-10-25 15:35 - 2015-10-25 15:35 - 00000000 ____D C:\Users\Пользователь\AppData\Local\fOyvUMQzyKh
C:\Users\Пользователь\AppData\Local\Temp\71F8C9CC.exe
C:\Users\Пользователь\AppData\Local\Temp\obnovisetup.exe
Task: {07103EB6-2ED6-4B1A-9A0B-43271F04D502} - \{4E51FDCD-9A46-46DE-9863-B7B79383A857} -> No File <==== ATTENTION
Task: {3E26A35D-D9F6-4691-A5B2-11FCA6F9DF22} - \{07D14B1B-0089-4BE2-857F-5A078BA41A2B} -> No File <==== ATTENTION
Task: {8E0F23D9-3E3F-4FA7-9AC0-ABFB79DE7DB0} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
Task: {8F943092-8413-4456-80F2-429DAAB98DA6} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION
Task: {B82781B9-ACC6-41DA-AC55-10F857B1AE73} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[qwuantum]

Надпись на рабочем столе исчезла. Вот прикрепляю.

А файлы как-нибудь можно расшифровать?

Fixlog.txt

[thyrex]

С расшифровкой не поможем

[qwuantum]

С расшифровкой не поможем

А если через my.kaspersky.com ?

[thyrex]

Я не увидел в логах вообще никакого антивируса

[qwuantum]

Я не увидел в логах вообще никакого антивируса

Да. На этом компе нету.

[thyrex]

Если есть действующая лицензия на любой из продуктов Лаборатории Касперского, тогда http://forum.kasperskyclub.ru/index.php?showtopic=48525