Зашифровали все файлы.

[Надежда0505]

причина не известна. все файлы стали типа .better_call_saul. 

CollectionLog-2016.03.20-10.57.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-2FC321\Application Data\Y8tex2fIsvG6F.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\PoxjiIka\zemhalo.EXE','');
 QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data\ATDworks\eventCrypttype.dll','');
 QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data\YbPack\CoolCtrlmod.dll','');
 QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data\ATDworks\EC1CEB48.exe','');
 QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','');
 QuarantineFile('C:\Program Files\YTDownloader\YTDownloader.exe','');
 DeleteService('bd0001');
 DeleteService('bd0004');
 DeleteService('BDAntiExp');
 DeleteService('BDEnhanceBoost');
 DeleteService('BDSafeBrowser');
 DeleteService('tijving');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\PoxjiIka\zemhalo.exe','');
 TerminateProcessByName('c:\documents and settings\admin.microsof-2fc321\local settings\application data\atdworks\ec1ceb48.exe');
 QuarantineFile('c:\documents and settings\admin.microsof-2fc321\local settings\application data\atdworks\ec1ceb48.exe','');
 DeleteFile('c:\documents and settings\admin.microsof-2fc321\local settings\application data\atdworks\ec1ceb48.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\PoxjiIka\zemhalo.exe','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0001.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\BDAntiExp.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\BDEnhanceBoost.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\BDSafeBrowser.sys','32');
 DeleteFile('C:\Program Files\BaiduEx\uninit.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduEx');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ap');
 DeleteFile('C:\Program Files\YTDownloader\YTDownloader.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','YTDownloader');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MailRuUpdater');
 DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32');
 DeleteFile('C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data\ATDworks\EC1CEB48.exe','32');
 DeleteFile('C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data\YbPack\CoolCtrlmod.dll','32');
 DeleteFile('C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data\ATDworks\eventCrypttype.dll','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Omics');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YbPack');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ATDworks');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YTDownloader');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_AE3D69A5FF7EC3EB4BFBEB9C9AEF89C2');
 DeleteFile('C:\WINDOWS\Tasks\Tempo Runner zemhdlo.job','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\PoxjiIka\zemhalo.EXE','32');
 DeleteFile('C:\WINDOWS\Tasks\Y8tex2fIsvG6F.job','32');
 DeleteFile('C:\Documents and Settings\Admin.MICROSOF-2FC321\Application Data\Y8tex2fIsvG6F.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[Надежда0505]

KLAN-3980539061
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

eventCrypttype.dll,
CoolCtrlmod.dll

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

EC1CEB48.exe - Trojan.Win32.Diple.gnac

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

Сейчас я должна снова через программу  AutoLogger прислать вам архив?

[mike 1]

 

 

Сейчас я должна снова через программу  AutoLogger прислать вам архив?

Да. + Меняйте все пароли. 

[Надежда0505]

В эту же тему или создать новую?

В эту же тему или создать новую?

[mike 1]

В эту же тему или создать новую?

Не надо плодить 10 однотипных тем. Продолжайте в этой теме.

[Надежда0505]

Все пароли, то есть прям все все?

Вот новые логи.

CollectionLog-2016.03.20-13.16.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[Надежда0505]

вот отчеты

лог.rar

[thyrex]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Run: [] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-1078081533-1229272821-1417001333-500\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bdc77fdfb506787882d8916404ddae4f&text={searchTerms}
HKU\S-1-5-21-1078081533-1229272821-1417001333-500\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bdc77fdfb506787882d8916404ddae4f&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1078081533-1229272821-1417001333-500 -> Moikrug URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD3200AAJS-00VWA0_WD-WCARW125006950069&ts=1434184656&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1078081533-1229272821-1417001333-500 -> Yandex URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD3200AAJS-00VWA0_WD-WCARW125006950069&ts=1434184656&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1078081533-1229272821-1417001333-500 -> yandex.ru-154751 URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD3200AAJS-00VWA0_WD-WCARW125006950069&ts=1434184656&type=default&q={searchTerms}
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => No File
BHO: JQSIEStartDetectorImpl Class -> {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -> C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll => No File
Toolbar: HKLM - No Name - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} -  No File
CHR HKLM\...\Chrome\Extension: [dhngkpgdbpbkopndlpkicfaiffphdkbo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path\update_url>
CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found>
2016-04-01 23:17 - 2016-04-01 23:17 - 04320054 _____ C:\Documents and Settings\Admin.MICROSOF-2FC321\Application Data\2C00D4B62C00D4B6.bmp
2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2016-03-19 14:28 - 2016-03-20 12:36 - 00000000 ____D C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data\YbPack
2016-03-19 14:27 - 2016-03-20 12:36 - 00000000 ____D C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data\ATDworks
2016-03-18 16:51 - 2016-03-18 16:51 - 00042496 _____ C:\Documents and Settings\Admin.MICROSOF-2FC321\Рабочий стол\A7007100
2016-03-18 16:08 - 2016-03-19 15:22 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README9.txt
2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README8.txt
2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README7.txt
2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README6.txt
2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README5.txt
2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README4.txt
2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README3.txt
2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README2.txt
2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README10.txt
C:\Documents and Settings\Admin.MICROSOF-2FC321\an.bat
C:\Documents and Settings\Admin.MICROSOF-2FC321\sd.bat
C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\35C.exe
C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\EC1CEB48.exe
C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\exereader.exe
C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\qqpcmgr_v10.10.16434.218_45136_Silence.exe
C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\tmp33B.exe
C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\tmp33E.exe
C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\tmp346.exe
C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\tmp356.exe
C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\tmp369.exe
C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\tmp36F.exe
Task: C:\WINDOWS\Tasks\bOoj7NrZjbCHcnCqEt5E7.job => C:\Documents and Settings\Admin.MICROSOF-2FC321\Application Data\bOoj7NrZjbCHcnCqEt5E7.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\wn4fYGo4FODVOFmNaqK.job => C:\Documents and Settings\Admin.MICROSOF-2FC321\Application Data\wn4fYGo4FODVOFmNaqK.exe <==== ATTENTION
AlternateDataStreams: C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data:wa [146]
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:B1FBBD09 [123]
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[Надежда0505]

вот

Fixlog.txt

ClearLNK-20.03.2016_15-18.log

[thyrex]

С расшифровкой не поможем

[Надежда0505]

То есть сейчас того, что зашифровало, на моем компьютере нет?

А вы могли бы посоветовать, как можно  файлы расшифровать? Через что или к кому можно обратиться?

Почему не поможете?

[thyrex]

Шифратора уже нет. Новые файлы шифроваться не будут.

 

Вирлаб Лаборатории Касперского пытается оказать помощь в расшифровке только обладателям действующей лицензии на любой из своих продуктов.

[Надежда0505]

А если я приобрету лицензию, то расшифровать можно или, как я понимаю, уже невозможно?