День добрый. у меня тут логгер появился

[Bandos]

Привет знатокам. У бухгалтера появилась проблема. Клятвенно заявляет, что ничего не качала, на сайты пошлые не ходила. На рабочем столе чёрный экран и красная надпись гласит:  "Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах Readme.txt, которые можно найти на любом из дисков".

всё сделано было как описано в топике http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

ничего пока не удалял, комп от локальной сети отключил.

 

текст в readme

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

не записал

на электронный адрес Kudryavtsev.Panfil@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае

их изменения расшифровка станет невозможной ни при каких условиях.

Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),

воспользуйтесь резервным адресом. Его можно узнать двумя способами:

1) Скачайте и установите Tor Browser по ссылке: https://www.torproje...ad-easy.html.en

В адресной строке Tor Browser-а введите адрес:

http://cryptorzimsbfbkx.onion/

и нажмите Enter. Загрузится страница с резервными email-адресами.

2) В любом браузере перейдите по одному из адресов:

http://cryptorzimsbfbkx.onion.to/

http://cryptorzimsbfbkx.onion.cab/

CollectionLog-2016.04.12-14.23.zip

Изменено 12 апреля, 2016 пользователем Bandos

[Sandor]

Здравствуйте!

 

ничего не качала, на сайты пошлые не ходила

Достаточно было запустить вложение из письма.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\Татьяна\appdata\local\icqcsoft\33a06e03.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 TerminateProcessByName('c:\programdata\drivers\csrss.exe');
 QuarantineFile('C:\Users\Татьяна\AppData\Local\Icqcsoft\kgsrolxm.dll','');
 QuarantineFile('C:\Users\Татьяна\AppData\Local\Oqmics\ldsgajjp.dll','');
 QuarantineFile('c:\users\Татьяна\appdata\local\icqcsoft\33a06e03.exe','');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 QuarantineFile('c:\programdata\drivers\csrss.exe', '');
 QuarantineFileF('C:\Users\Татьяна\AppData\Local\Icqcsoft', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Татьяна\AppData\Local\Oqmics', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('c:\users\Татьяна\appdata\local\icqcsoft\33a06e03.exe','32');
 DeleteFile('C:\Users\Татьяна\AppData\Local\Oqmics\ldsgajjp.dll','32');
 DeleteFile('C:\Users\Татьяна\AppData\Local\Icqcsoft\kgsrolxm.dll','32');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 DeleteFile('c:\programdata\drivers\csrss.exe', '32');
 DeleteFileMask('C:\Users\Татьяна\AppData\Local\Icqcsoft', '*', true);
 DeleteFileMask('C:\Users\Татьяна\AppData\Local\Oqmics', '*', true);
 DeleteDirectory('C:\Users\Татьяна\AppData\Local\Icqcsoft');
 DeleteDirectory('C:\Users\Татьяна\AppData\Local\Oqmics');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Icqcsoft');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Oqmics');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YXDPack');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Bandos]

повторные логи

CollectionLog-2016.04.12-15.24.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Bandos]

есть

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2016-04-12 11:32 - 2016-04-12 11:33 - 00000000 ____D C:\Users\Татьяна\AppData\Local\Icqcsoft
2016-04-12 11:32 - 2016-04-12 11:32 - 00000000 ____D C:\Users\Татьяна\AppData\Local\Oqmics
2016-04-12 11:31 - 2016-04-12 11:31 - 03932214 _____ C:\Users\Татьяна\AppData\Roaming\FFAF6F80FFAF6F80.bmp
2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README9.txt
2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README8.txt
2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README7.txt
2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README6.txt
2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README5.txt
2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README4.txt
2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README3.txt
2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README2.txt
2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README10.txt
2016-04-12 11:31 - 2016-04-12 11:31 - 00002710 _____ C:\Users\Татьяна\Desktop\README1.txt
2016-04-12 11:10 - 2016-04-12 15:12 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-04-12 11:10 - 2016-04-12 15:12 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\Татьяна\AppData\Local\Temp\33A06E03.exe
C:\Users\Татьяна\AppData\Local\Temp\6632AA71.exe
C:\Users\Татьяна\AppData\Local\Temp\Setup.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Bandos]

есть

Fixlog.txt

[Sandor]

С расшифровкой не поможем.

[Bandos]

спасибо за помощь