День добрый. у меня тут логгер появился

12 апреля, 2016

Привет знатокам. У бухгалтера появилась проблема. Клятвенно заявляет, что ничего не качала, на сайты пошлые не ходила. На рабочем столе чёрный экран и красная надпись гласит: "Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах Readme.txt, которые можно найти на любом из дисков".

всё сделано было как описано в топике http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

ничего пока не удалял, комп от локальной сети отключил.

текст в readme

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

не записал

на электронный адрес Kudryavtsev.Panfil@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае

их изменения расшифровка станет невозможной ни при каких условиях.

Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),

воспользуйтесь резервным адресом. Его можно узнать двумя способами:

1) Скачайте и установите Tor Browser по ссылке: https://www.torproje...ad-easy.html.en

В адресной строке Tor Browser-а введите адрес:

http://cryptorzimsbfbkx.onion/

и нажмите Enter. Загрузится страница с резервными email-адресами.

2) В любом браузере перейдите по одному из адресов:

http://cryptorzimsbfbkx.onion.to/

http://cryptorzimsbfbkx.onion.cab/

CollectionLog-2016.04.12-14.23.zip

Изменено 12 апреля, 2016 пользователем Bandos

12 апреля, 2016

Здравствуйте!

ничего не качала, на сайты пошлые не ходила

Достаточно было запустить вложение из письма.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\Татьяна\appdata\local\icqcsoft\33a06e03.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 TerminateProcessByName('c:\programdata\drivers\csrss.exe');
 QuarantineFile('C:\Users\Татьяна\AppData\Local\Icqcsoft\kgsrolxm.dll','');
 QuarantineFile('C:\Users\Татьяна\AppData\Local\Oqmics\ldsgajjp.dll','');
 QuarantineFile('c:\users\Татьяна\appdata\local\icqcsoft\33a06e03.exe','');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 QuarantineFile('c:\programdata\drivers\csrss.exe', '');
 QuarantineFileF('C:\Users\Татьяна\AppData\Local\Icqcsoft', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Татьяна\AppData\Local\Oqmics', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('c:\users\Татьяна\appdata\local\icqcsoft\33a06e03.exe','32');
 DeleteFile('C:\Users\Татьяна\AppData\Local\Oqmics\ldsgajjp.dll','32');
 DeleteFile('C:\Users\Татьяна\AppData\Local\Icqcsoft\kgsrolxm.dll','32');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 DeleteFile('c:\programdata\drivers\csrss.exe', '32');
 DeleteFileMask('C:\Users\Татьяна\AppData\Local\Icqcsoft', '*', true);
 DeleteFileMask('C:\Users\Татьяна\AppData\Local\Oqmics', '*', true);
 DeleteDirectory('C:\Users\Татьяна\AppData\Local\Icqcsoft');
 DeleteDirectory('C:\Users\Татьяна\AppData\Local\Oqmics');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Icqcsoft');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Oqmics');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YXDPack');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

12 апреля, 2016

повторные логи

CollectionLog-2016.04.12-15.24.zip

12 апреля, 2016

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

12 апреля, 2016

есть

Addition.txt

FRST.txt

Shortcut.txt

12 апреля, 2016

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2016-04-12 11:32 - 2016-04-12 11:33 - 00000000 ____D C:\Users\Татьяна\AppData\Local\Icqcsoft
2016-04-12 11:32 - 2016-04-12 11:32 - 00000000 ____D C:\Users\Татьяна\AppData\Local\Oqmics
2016-04-12 11:31 - 2016-04-12 11:31 - 03932214 _____ C:\Users\Татьяна\AppData\Roaming\FFAF6F80FFAF6F80.bmp
2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README9.txt
2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README8.txt
2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README7.txt
2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README6.txt
2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README5.txt
2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README4.txt
2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README3.txt
2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README2.txt
2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README10.txt
2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README1.txt
2016-04-12 11:10 - 2016-04-12 15:12 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-04-12 11:10 - 2016-04-12 15:12 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\Татьяна\AppData\Local\Temp\33A06E03.exe
C:\Users\Татьяна\AppData\Local\Temp\6632AA71.exe
C:\Users\Татьяна\AppData\Local\Temp\Setup.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

12 апреля, 2016

есть

Fixlog.txt

12 апреля, 2016

С расшифровкой не поможем.

12 апреля, 2016

спасибо за помощь

День добрый. у меня тут логгер появился

Рекомендуемые сообщения

Bandos

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Bandos

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Bandos

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Bandos

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Bandos

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum