Перейти к содержанию

Зашифровали все файлы.


Рекомендуемые сообщения

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-2FC321\Application Data\Y8tex2fIsvG6F.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\PoxjiIka\zemhalo.EXE','');
 QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data\ATDworks\eventCrypttype.dll','');
 QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data\YbPack\CoolCtrlmod.dll','');
 QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data\ATDworks\EC1CEB48.exe','');
 QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','');
 QuarantineFile('C:\Program Files\YTDownloader\YTDownloader.exe','');
 DeleteService('bd0001');
 DeleteService('bd0004');
 DeleteService('BDAntiExp');
 DeleteService('BDEnhanceBoost');
 DeleteService('BDSafeBrowser');
 DeleteService('tijving');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\PoxjiIka\zemhalo.exe','');
 TerminateProcessByName('c:\documents and settings\admin.microsof-2fc321\local settings\application data\atdworks\ec1ceb48.exe');
 QuarantineFile('c:\documents and settings\admin.microsof-2fc321\local settings\application data\atdworks\ec1ceb48.exe','');
 DeleteFile('c:\documents and settings\admin.microsof-2fc321\local settings\application data\atdworks\ec1ceb48.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\PoxjiIka\zemhalo.exe','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0001.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\BDAntiExp.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\BDEnhanceBoost.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\BDSafeBrowser.sys','32');
 DeleteFile('C:\Program Files\BaiduEx\uninit.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduEx');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ap');
 DeleteFile('C:\Program Files\YTDownloader\YTDownloader.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','YTDownloader');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MailRuUpdater');
 DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32');
 DeleteFile('C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data\ATDworks\EC1CEB48.exe','32');
 DeleteFile('C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data\YbPack\CoolCtrlmod.dll','32');
 DeleteFile('C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data\ATDworks\eventCrypttype.dll','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Omics');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YbPack');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ATDworks');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YTDownloader');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_AE3D69A5FF7EC3EB4BFBEB9C9AEF89C2');
 DeleteFile('C:\WINDOWS\Tasks\Tempo Runner zemhdlo.job','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\PoxjiIka\zemhalo.EXE','32');
 DeleteFile('C:\WINDOWS\Tasks\Y8tex2fIsvG6F.job','32');
 DeleteFile('C:\Documents and Settings\Admin.MICROSOF-2FC321\Application Data\Y8tex2fIsvG6F.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

KLAN-3980539061
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

eventCrypttype.dll,
CoolCtrlmod.dll

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

EC1CEB48.exe - Trojan.Win32.Diple.gnac

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Сейчас я должна снова через программу  AutoLogger прислать вам архив?

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Run: [] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-1078081533-1229272821-1417001333-500\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bdc77fdfb506787882d8916404ddae4f&text={searchTerms}
HKU\S-1-5-21-1078081533-1229272821-1417001333-500\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bdc77fdfb506787882d8916404ddae4f&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1078081533-1229272821-1417001333-500 -> Moikrug URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD3200AAJS-00VWA0_WD-WCARW125006950069&ts=1434184656&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1078081533-1229272821-1417001333-500 -> Yandex URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD3200AAJS-00VWA0_WD-WCARW125006950069&ts=1434184656&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1078081533-1229272821-1417001333-500 -> yandex.ru-154751 URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD3200AAJS-00VWA0_WD-WCARW125006950069&ts=1434184656&type=default&q={searchTerms}
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => No File
BHO: JQSIEStartDetectorImpl Class -> {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -> C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll => No File
Toolbar: HKLM - No Name - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} -  No File
CHR HKLM\...\Chrome\Extension: [dhngkpgdbpbkopndlpkicfaiffphdkbo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path\update_url>
CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found>
2016-04-01 23:17 - 2016-04-01 23:17 - 04320054 _____ C:\Documents and Settings\Admin.MICROSOF-2FC321\Application Data\2C00D4B62C00D4B6.bmp
2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2016-03-19 14:28 - 2016-03-20 12:36 - 00000000 ____D C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data\YbPack
2016-03-19 14:27 - 2016-03-20 12:36 - 00000000 ____D C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data\ATDworks
2016-03-18 16:51 - 2016-03-18 16:51 - 00042496 _____ C:\Documents and Settings\Admin.MICROSOF-2FC321\Рабочий стол\A7007100
2016-03-18 16:08 - 2016-03-19 15:22 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README9.txt
2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README8.txt
2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README7.txt
2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README6.txt
2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README5.txt
2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README4.txt
2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README3.txt
2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README2.txt
2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README10.txt
C:\Documents and Settings\Admin.MICROSOF-2FC321\an.bat
C:\Documents and Settings\Admin.MICROSOF-2FC321\sd.bat
C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\35C.exe
C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\EC1CEB48.exe
C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\exereader.exe
C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\qqpcmgr_v10.10.16434.218_45136_Silence.exe
C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\tmp33B.exe
C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\tmp33E.exe
C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\tmp346.exe
C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\tmp356.exe
C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\tmp369.exe
C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\tmp36F.exe
Task: C:\WINDOWS\Tasks\bOoj7NrZjbCHcnCqEt5E7.job => C:\Documents and Settings\Admin.MICROSOF-2FC321\Application Data\bOoj7NrZjbCHcnCqEt5E7.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\wn4fYGo4FODVOFmNaqK.job => C:\Documents and Settings\Admin.MICROSOF-2FC321\Application Data\wn4fYGo4FODVOFmNaqK.exe <==== ATTENTION
AlternateDataStreams: C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data:wa [146]
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:B1FBBD09 [123]
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

То есть сейчас того, что зашифровало, на моем компьютере нет?


А вы могли бы посоветовать, как можно  файлы расшифровать? Через что или к кому можно обратиться?


Почему не поможете?

Ссылка на комментарий
Поделиться на другие сайты

Шифратора уже нет. Новые файлы шифроваться не будут.

 

Вирлаб Лаборатории Касперского пытается оказать помощь в расшифровке только обладателям действующей лицензии на любой из своих продуктов.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...