Leshka Sorov 0 Опубликовано 14 марта, 2016 Share Опубликовано 14 марта, 2016 Помогите восстановить файлы. Появился банер Ransom 32. После борьбы банер исчез. Но все файлы ворда и фото зашифрованы. Стоят с оригинальными именами без копий. Как их расшифровать. Заранее спасибо. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 14 марта, 2016 Share Опубликовано 14 марта, 2016 http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Цитата Ссылка на сообщение Поделиться на другие сайты
Leshka Sorov 0 Опубликовано 14 марта, 2016 Автор Share Опубликовано 14 марта, 2016 (изменено) Добрый день. Большая проблема с зашифроваными файлами. Появилось на экране окно и все файлы не открываются. Пишет либо файл не поддерживается либо файлы txt с иероглифами и т.д. После поиска вирусов и выгрузки из выгрузки процесса Denci окно с исчезло(окно скина прилагаю). Нашел папку с этим процессом и удалил. Окно с ransom32 больше не вылазит,но файлы так и не открывает(зашифрованы)Прилагаю файл с логами. Заранее спасибо за помощь. CollectionLog-2016.03.14-11.09.zip Изменено 14 марта, 2016 пользователем Leshka Sorov Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 14 марта, 2016 Share Опубликовано 14 марта, 2016 Здравствуйте,Знакомы сетевые настройки? O17 - HKLM\System\CCS\Services\Tcpip\..\{55579026-7DD8-40E7-B193-AAE6AFE75604}: NameServer = 0.0.0.0O17 - HKLM\System\CS1\Services\Tcpip\..\{55579026-7DD8-40E7-B193-AAE6AFE75604}: NameServer = 0.0.0.0O17 - HKLM\System\CS2\Services\Tcpip\..\{55579026-7DD8-40E7-B193-AAE6AFE75604}: NameServer = 0.0.0.0 HiJackThis профиксить: O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file) O2 - BHO: (no name) - {E7D2CB77-6E2D-4C1F-B485-D50506B9FA6B} - (no file) O2 - BHO: (no name) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file) O2 - BHO: SafeMon Class - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - (no file) O3 - Toolbar: (no name) - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file) O3 - Toolbar: (no name) - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: (no name) - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - (no file) O9 - Extra button: (no name) - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file) O9 - Extra button: (no name) - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (no file) O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - (no file) Выполните скрипт в AVZ: begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); StopService('BAPIDRV'); DeleteService('BAPIDRV'); QuarantineFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys',''); QuarantineFile('C:\Windows\System32\drivers\capusot.SYS',''); QuarantineFile('NEWDRIVER.sys',''); DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(1); BC_Activate; RebootWindows(false); end. Будет выполнена перезагрузка компьютера.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN)Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи Цитата Ссылка на сообщение Поделиться на другие сайты
Leshka Sorov 0 Опубликовано 14 марта, 2016 Автор Share Опубликовано 14 марта, 2016 Не совсем понял что надо сделать. Вот новый лог Здравствуйте,Знакомы сетевые настройки? O17 - HKLM\System\CCS\Services\Tcpip\..\{55579026-7DD8-40E7-B193-AAE6AFE75604}: NameServer = 0.0.0.0O17 - HKLM\System\CS1\Services\Tcpip\..\{55579026-7DD8-40E7-B193-AAE6AFE75604}: NameServer = 0.0.0.0O17 - HKLM\System\CS2\Services\Tcpip\..\{55579026-7DD8-40E7-B193-AAE6AFE75604}: NameServer = 0.0.0.0 HiJackThis профиксить: O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file) O2 - BHO: (no name) - {E7D2CB77-6E2D-4C1F-B485-D50506B9FA6B} - (no file) O2 - BHO: (no name) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file) O2 - BHO: SafeMon Class - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - (no file) O3 - Toolbar: (no name) - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file) O3 - Toolbar: (no name) - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: (no name) - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - (no file) O9 - Extra button: (no name) - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file) O9 - Extra button: (no name) - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (no file) O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - (no file) Выполните скрипт в AVZ: begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); StopService('BAPIDRV'); DeleteService('BAPIDRV'); QuarantineFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys',''); QuarantineFile('C:\Windows\System32\drivers\capusot.SYS',''); QuarantineFile('NEWDRIVER.sys',''); DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(1); BC_Activate; RebootWindows(false); end. Будет выполнена перезагрузка компьютера.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN)Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи Не понимаю что мне надо сделать. Вот еще один лог. Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 14 марта, 2016 Share Опубликовано 14 марта, 2016 Пройдите по ссылкам для ознакомления с инструкциями: HiJackThis профиксить: O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file) O2 - BHO: (no name) - {E7D2CB77-6E2D-4C1F-B485-D50506B9FA6B} - (no file) O2 - BHO: (no name) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file) O2 - BHO: SafeMon Class - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - (no file) O3 - Toolbar: (no name) - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file) O3 - Toolbar: (no name) - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: (no name) - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - (no file) O9 - Extra button: (no name) - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file) O9 - Extra button: (no name) - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (no file) O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - (no file) Выполните скрипт в AVZ: begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); StopService('BAPIDRV'); DeleteService('BAPIDRV'); QuarantineFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys',''); QuarantineFile('C:\Windows\System32\drivers\capusot.SYS',''); QuarantineFile('NEWDRIVER.sys',''); DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(1); BC_Activate; RebootWindows(false); end. Будет выполнена перезагрузка компьютера.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Цитата Ссылка на сообщение Поделиться на другие сайты
Leshka Sorov 0 Опубликовано 14 марта, 2016 Автор Share Опубликовано 14 марта, 2016 (изменено) Вроде все сделал. Прилагаю файл. Сообщение от модератора "Mark D. Pearlstone" Не прикрепляйте quarantine.zip на форум. Файл удалён. не смог прикрепить файл с карантином. выложил здесь [удалено] CollectionLog-2016.03.14-16.20.zip Изменено 15 марта, 2016 пользователем thyrex убрал ссылку на карантин Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 14 марта, 2016 Share Опубликовано 14 марта, 2016 не смог прикрепить файл с карантином. выложил здесь [удалено]Зачем прикреплять, если просили Вас отправить quarantine.zip на емайл newvirus@kaspersky.com, далее полученный ответ сообщите здесь (с указанием номера KLAN) Так и не профиксили HijackThis: O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file) O2 - BHO: (no name) - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - (no file) O2 - BHO: (no name) - {E7D2CB77-6E2D-4C1F-B485-D50506B9FA6B} - (no file) O2 - BHO: (no name) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file) O3 - Toolbar: (no name) - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file) O3 - Toolbar: (no name) - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: (no name) - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - (no file) O9 - Extra button: (no name) - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file) O9 - Extra button: (no name) - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (no file)Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Leshka Sorov 0 Опубликовано 15 марта, 2016 Автор Share Опубликовано 15 марта, 2016 HijackThis профиксил. Вот отчет от Farbar Recovery Scan Tool FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 15 марта, 2016 Share Опубликовано 15 марта, 2016 Знакома ли Вам? 2011-10-19 16:16 - 2010-10-06 09:45 - 0131984 _____ () C:\ProgramData\FullRemove.exe [*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => No File Tcpip\..\Interfaces\{55579026-7DD8-40E7-B193-AAE6AFE75604}: [NameServer] 0.0.0.0 BHO-x32: No Name -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> No File Toolbar: HKU\S-1-5-21-989750223-1000056476-354781864-1001 -> No Name - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - No File Toolbar: HKU\S-1-5-21-989750223-1000056476-354781864-1001 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} - No File Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll No File Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll No File FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File] CHR Plugin: (Widevine Content Decryption Module) - C:\Users\user\AppData\Local\Google\Chrome\User Data\WidevineCDM\1.4.6.703\_platform_specific\win_x86\widevinecdmadapter.dll => No File CHR Plugin: (Shockwave Flash) - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_16_0_0_287.dll => No File CHR HKLM-x32\...\Chrome\Extension: [jbfmkijbdfgfaiccakeaiinogojfkkcj] - C:\Users\user\AppData\Local\Google\Chrome\Application\Plugins\extension_0_1_0_4.crx <not found> S2 NEWDRIVER; no ImagePath 2015-09-25 18:13 - 2015-09-25 18:13 - 0004104 _____ () C:\ProgramData\ojobkspa.ako 2014-12-01 13:09 - 2014-12-01 13:09 - 0005045 _____ () C:\ProgramData\wmzddnmb.cix AlternateDataStreams: C:\ProgramData\Temp:41ADDB8A [137] AlternateDataStreams: C:\ProgramData\Temp:A064CECC [136] AlternateDataStreams: C:\ProgramData\Temp:D20FFA63 [119] AlternateDataStreams: C:\Users\Все пользователи\Temp:41ADDB8A [137] AlternateDataStreams: C:\Users\Все пользователи\Temp:A064CECC [136] AlternateDataStreams: C:\Users\Все пользователи\Temp:D20FFA63 [119] Reboot: [*] Запустите FRST и нажмите один раз на кнопку Fix и подождите. [*] Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! [*] Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 15 марта, 2016 Share Опубликовано 15 марта, 2016 (изменено) Зашифрованный файл в архиве еще пришлите. Изменено 15 марта, 2016 пользователем mike 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Leshka Sorov 0 Опубликовано 15 марта, 2016 Автор Share Опубликовано 15 марта, 2016 Вот зашифрованные файлы и фикслог Fixlog.txt зашифрованныефайлы.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 15 марта, 2016 Share Опубликовано 15 марта, 2016 Как получили шифровальщика? Что запускали? Цитата Ссылка на сообщение Поделиться на другие сайты
Leshka Sorov 0 Опубликовано 15 марта, 2016 Автор Share Опубликовано 15 марта, 2016 После просмотра всей истории могу сказать что перешел на сайт компании одной http://asge.ru/ там выскочило обновить флеш плеер. был скачан обновлен и в течении 2х дней файлы закодировались и вылез банер. А так больше никаких скачиваний и установок не было. Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 15 марта, 2016 Share Опубликовано 15 марта, 2016 После просмотра всей истории могу сказать что перешел на сайт компании одной http://asge.ru/ там выскочило обновить флеш плеер. был скачан обновлен и в течении 2х дней файлы закодировались и вылез банер. А так больше никаких скачиваний и установок не было. По сей видимости взломали указанный Вами сайт, так как вредоносное ПО на данный момент недоступно. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.