qwuantum 0 Опубликовано 23 января, 2016 Share Опубликовано 23 января, 2016 (изменено) Зашифрованы все графические и офисные файлы. На рабочем столе текст с содержанием: Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 8674BD05DC2556C280A8|0 на электронный адрес files000001@gmail.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. All the important files on your computer were encrypted. To decrypt the files you should send the following code: 8674BD05DC2556C280A8|0 to e-mail address files000001@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. Перед созданием логов переименовал папку C:\Users\Пользователь\AppData\Local\Adjworks в C:\Users\Пользователь\AppData\Local\Adjworks.BAN. Помогите расшифровать. Видел похожую проблему на форуме. Прикреплю еще логи Farbar CollectionLog-2016.01.23-19.03.zip Addition.txt FRST.txt Изменено 23 января, 2016 пользователем qwuantum Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 23 января, 2016 Share Опубликовано 23 января, 2016 Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\ProgramData\AvPgcd\YWwcrwUYR2.bat',''); QuarantineFile('C:\ProgramData\AwOQmvRdaqnHpc\XLktuYVAelXO5.bat',''); QuarantineFile('C:\ProgramData\OLC\AHJcAXLwz0.bat',''); QuarantineFile('C:\Users\Пользователь\AppData\Local\Adjworks\lxhnuwrs.dll',''); QuarantineFile('C:\Users\Пользователь\AppData\Local\Adjworks\71F8C9CC.exe',''); QuarantineFile('C:\Users\Пользователь\AppData\Local\Ivfssoft\ssnwevvp.dll',''); DeleteFile('C:\Users\Пользователь\AppData\Local\Ivfssoft\ssnwevvp.dll','32'); DeleteFile('C:\Users\Пользователь\AppData\Local\Adjworks\71F8C9CC.exe','32'); DeleteFile('C:\Users\Пользователь\AppData\Local\Adjworks\lxhnuwrs.dll','32'); DeleteFile('C:\ProgramData\OLC\AHJcAXLwz0.bat','32'); DeleteFile('C:\ProgramData\AwOQmvRdaqnHpc\XLktuYVAelXO5.bat','32'); DeleteFile('C:\ProgramData\AvPgcd\YWwcrwUYR2.bat','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ivfssoft'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adjworks'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YblkPack'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk. Порядок действий на портале Kaspersky Virus Desk:: 1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты; 2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина. Важно: размер архива не должен превышать 12 МБ; 3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл. 4) Дождитесь ответа об успешной загрузке карантина. Полученный через электронную почту ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O4 - HKCU\..\Run: [Adjworks] C:\Users\Пользователь\AppData\Local\Adjworks\71F8C9CC.exe O4 - HKCU\..\Run: [Ivfssoft] regsvr32.exe C:\Users\Пользователь\AppData\Local\Ivfssoft\ssnwevvp.dll O4 - HKCU\..\Run: [YblkPack] C:\Windows\System32\regsvr32.exe C:\Users\Пользователь\AppData\Local\Adjworks\lxhnuwrs.dll Сделайте новые логи по правилам (только пункт 2). +2 лога FRST http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696 Ссылка на сообщение Поделиться на другие сайты
qwuantum 0 Опубликовано 23 января, 2016 Автор Share Опубликовано 23 января, 2016 Отчет о работе ClearLNK-<Дата>.log Re: [VirLabSRF][VD][undetected malware sample][M:1][LN:ru][L:0] [KLAN-3648965947] newvirus@kaspersky.com Кому: vav_ua@mail.ru сегодня, 20:29 Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. AHJcAXLwz0.bat,ssnwevvp.dllПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"Hello,This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. AHJcAXLwz0.bat,ssnwevvp.dllA set of unknown files has been received. They will be sent to the Virus Lab.Best Regards, Kaspersky Lab"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"--------------------------------------------------------------------------------Sent: 1/23/2016 6:27:03 PMTo: newvirus@kaspersky.comSubject: [VirLabSRF][VD][undetected malware sample][M:1][LN:ru][L:0]<meta http-equiv="Content-Type" content="text/html; charset=us-ascii"><p>LANG: ru</p><p>email: vav_ua@mail.ru</p><p>uploaded files: Quarantine.zip</p> Сообщение от модератора Mark D. Pearlstone Адрес почты пользователя удалён. ClearLNK-23.01.2016_19-58.log Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 23 января, 2016 Share Опубликовано 23 января, 2016 Новые логи по правилам + дополнительно запрошенные логи где? Ссылка на сообщение Поделиться на другие сайты
qwuantum 0 Опубликовано 23 января, 2016 Автор Share Опубликовано 23 января, 2016 Новые логи по правилам + дополнительно запрошенные логи где? Нетбук медленный. Делаю логи... Вот логи: CollectionLog-2016.01.23-20.49.zip Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 23 января, 2016 Share Опубликовано 23 января, 2016 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Restriction - Chrome <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-4285474391-3461903543-2734246760-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File Toolbar: HKU\S-1-5-21-4285474391-3461903543-2734246760-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File 2016-01-23 19:27 - 2016-01-18 14:48 - 00048128 _____ C:\Users\Пользователь\AppData\Local\71F8C9CC.exe 2016-01-18 14:49 - 2016-01-23 20:07 - 00000000 ____D C:\Users\Пользователь\AppData\Local\Ivfssoft 2016-01-18 14:48 - 2016-01-18 14:49 - 00000000 ____D C:\Users\Пользователь\AppData\Local\Adjworks.BAN 2016-01-18 14:47 - 2016-01-18 14:47 - 03148854 _____ C:\Users\Пользователь\AppData\Roaming\E63005D0E63005D0.bmp 2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README9.txt 2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README8.txt 2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README7.txt 2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README6.txt 2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README5.txt 2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README4.txt 2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README3.txt 2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README2.txt 2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README10.txt 2015-10-25 15:35 - 2016-01-18 14:42 - 00000000 ____D C:\Users\Все пользователи\ContentDefender 2015-10-25 15:35 - 2016-01-18 14:42 - 00000000 ____D C:\ProgramData\ContentDefender 2015-10-25 15:35 - 2015-12-03 23:17 - 00000000 ____D C:\Program Files\Zaxar 2015-10-25 15:35 - 2015-10-25 15:35 - 00000000 ____D C:\Users\Пользователь\AppData\Local\fOyvUMQzyKh C:\Users\Пользователь\AppData\Local\Temp\71F8C9CC.exe C:\Users\Пользователь\AppData\Local\Temp\obnovisetup.exe Task: {07103EB6-2ED6-4B1A-9A0B-43271F04D502} - \{4E51FDCD-9A46-46DE-9863-B7B79383A857} -> No File <==== ATTENTION Task: {3E26A35D-D9F6-4691-A5B2-11FCA6F9DF22} - \{07D14B1B-0089-4BE2-857F-5A078BA41A2B} -> No File <==== ATTENTION Task: {8E0F23D9-3E3F-4FA7-9AC0-ABFB79DE7DB0} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION Task: {8F943092-8413-4456-80F2-429DAAB98DA6} - \Обновление Браузера Яндекс -> No File <==== ATTENTION Task: {B82781B9-ACC6-41DA-AC55-10F857B1AE73} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на сообщение Поделиться на другие сайты
qwuantum 0 Опубликовано 23 января, 2016 Автор Share Опубликовано 23 января, 2016 Надпись на рабочем столе исчезла. Вот прикрепляю. А файлы как-нибудь можно расшифровать? Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 23 января, 2016 Share Опубликовано 23 января, 2016 С расшифровкой не поможем Ссылка на сообщение Поделиться на другие сайты
qwuantum 0 Опубликовано 23 января, 2016 Автор Share Опубликовано 23 января, 2016 С расшифровкой не поможем А если через my.kaspersky.com ? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 23 января, 2016 Share Опубликовано 23 января, 2016 Я не увидел в логах вообще никакого антивируса Ссылка на сообщение Поделиться на другие сайты
qwuantum 0 Опубликовано 23 января, 2016 Автор Share Опубликовано 23 января, 2016 Я не увидел в логах вообще никакого антивируса Да. На этом компе нету. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 24 января, 2016 Share Опубликовано 24 января, 2016 Если есть действующая лицензия на любой из продуктов Лаборатории Касперского, тогда http://forum.kasperskyclub.ru/index.php?showtopic=48525 Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти