neitrino Шифровальщик

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

 then

  begin

   SearchRootkit(true, true);

   SetAVZGuardStatus(True);

  end;



 QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe','');

 QuarantineFile('C:\Program Files (x86)\CinemaPlus12bV04.02\74cffd73-9393-4ea5-866a-774e8965ca62-7.exe','');

 QuarantineFile('C:\Program Files (x86)\CinemaPlus12bV04.02\74cffd73-9393-4ea5-866a-774e8965ca62-6.exe','');

 QuarantineFile('C:\Program Files (x86)\CinemaPlus12bV04.02\74cffd73-9393-4ea5-866a-774e8965ca62-5.exe','');

 QuarantineFile('C:\Program Files (x86)\CinemaPlus12bV04.02\74cffd73-9393-4ea5-866a-774e8965ca62-4.exe','');

 QuarantineFile('C:\Program Files (x86)\CinemaPlus12bV04.02\74cffd73-9393-4ea5-866a-774e8965ca62-11.exe','');

 QuarantineFile('C:\Program Files (x86)\CinemaPlus12bV04.02\74cffd73-9393-4ea5-866a-774e8965ca62-1-7.exe','');

 QuarantineFile('C:\Program Files (x86)\CinemaPlus12bV04.02\74cffd73-9393-4ea5-866a-774e8965ca62-1-6.exe','');

 TerminateProcessByName('c:\users\Андрей\appdata\roaming\utorrent\updates\3.4.6_42094\utorrentie.exe');

 QuarantineFile('c:\users\Андрей\appdata\roaming\utorrent\updates\3.4.6_42094\utorrentie.exe','');

 DeleteFile('c:\users\Андрей\appdata\roaming\utorrent\updates\3.4.6_42094\utorrentie.exe','32');

 DeleteFile('C:\Program Files (x86)\CinemaPlus12bV04.02\74cffd73-9393-4ea5-866a-774e8965ca62-1-6.exe','32');

 DeleteFile('C:\Program Files (x86)\CinemaPlus12bV04.02\74cffd73-9393-4ea5-866a-774e8965ca62-1-7.exe','32');

 DeleteFile('C:\Program Files (x86)\CinemaPlus12bV04.02\74cffd73-9393-4ea5-866a-774e8965ca62-11.exe','32');

 DeleteFile('C:\Program Files (x86)\CinemaPlus12bV04.02\74cffd73-9393-4ea5-866a-774e8965ca62-4.exe','32');

 DeleteFile('C:\Program Files (x86)\CinemaPlus12bV04.02\74cffd73-9393-4ea5-866a-774e8965ca62-5.exe','32');

 DeleteFile('C:\Program Files (x86)\CinemaPlus12bV04.02\74cffd73-9393-4ea5-866a-774e8965ca62-6.exe','32');

 DeleteFile('C:\Program Files (x86)\CinemaPlus12bV04.02\74cffd73-9393-4ea5-866a-774e8965ca62-7.exe','32');

 DeleteFile('C:\Windows\Tasks\UTH.job','32');

 DeleteFile('C:\Windows\Tasks\NCOEFRAN.job','32');

 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');

 DeleteFile('C:\Windows\Tasks\74cffd73-9393-4ea5-866a-774e8965ca62-6.job','32');

 DeleteFile('C:\Windows\Tasks\74cffd73-9393-4ea5-866a-774e8965ca62-5_user.job','32');

 DeleteFile('C:\Windows\Tasks\74cffd73-9393-4ea5-866a-774e8965ca62-5.job','32');

 DeleteFile('C:\Windows\Tasks\74cffd73-9393-4ea5-866a-774e8965ca62-4.job','32');

 DeleteFile('C:\Windows\Tasks\74cffd73-9393-4ea5-866a-774e8965ca62-11.job','32');

 DeleteFile('C:\Windows\Tasks\74cffd73-9393-4ea5-866a-774e8965ca62-1-7.job','32');

 DeleteFile('C:\Windows\Tasks\74cffd73-9393-4ea5-866a-774e8965ca62-1-6.job','32');

 DeleteFile('C:\Users\Андрей\AppData\Roaming\mystartsearch\UninstallManager.exe','32');

 DeleteFile('C:\Windows\system32\Tasks\{F0C24D45-740D-4D05-A41B-D73B76C35A2A}','64');



 BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(false);

end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin

CreateQurantineArchive('c:\quarantine.zip');

end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

16 апреля, 2016

Спасибо. Отослал архив по рекомендованной почте.

Правило выполнить после " Полученный ответ сообщите здесь (с указанием номера KLAN)"?

[KLAN-4099533679]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

utorrentie.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

Отправляю Вам новые логи

Addition.txt

FRST.txt

hijackthis.log

CollectionLog-2016.04.16-20.18.zip

16 апреля, 2016

1. Откройте Блокнот и скопируйте в него приведенный ниже текст



CreateRestorePoint:



HKLM-x32\...\Run: [mbot_ru_58] => [X]



HKU\S-1-5-21-3143464042-1504714972-1720448807-1001\...\Run: [AdobeBridge] => [X]



HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1423001874&from=amt&uid=HGSTXHTS541010A9E680_JD100A1V29LGEM29LGEMX&q={searchTerms}

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1423001874&from=amt&uid=HGSTXHTS541010A9E680_JD100A1V29LGEM29LGEMX&q={searchTerms}

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1423001874&from=amt&uid=HGSTXHTS541010A9E680_JD100A1V29LGEM29LGEMX

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1423001874&from=amt&uid=HGSTXHTS541010A9E680_JD100A1V29LGEM29LGEMX

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1423001874&from=amt&uid=HGSTXHTS541010A9E680_JD100A1V29LGEM29LGEMX&q={searchTerms}

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1423001874&from=amt&uid=HGSTXHTS541010A9E680_JD100A1V29LGEM29LGEMX&q={searchTerms}



HKU\S-1-5-21-3143464042-1504714972-1720448807-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1423001874&from=amt&uid=HGSTXHTS541010A9E680_JD100A1V29LGEM29LGEMX



CHR StartupUrls: Default -> "hxxp://www.yoursearching.com/?type=hp&ts=1450684002&z=b23c3c7326825efacdebd7bg7zfw6e7qab1mecbgcq&from=face&uid=ST1000DM003-9YN162_S1D3VBTKXXXXS1D3VBTK"



S2 be0fb33b; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\Supporter\Supporter.dll",serv



2016-04-14 19:25 - 2015-02-04 01:19 - 00000000 ____D C:\Users\Все пользователи\IHProtectUpDate

2016-04-14 19:25 - 2015-02-04 01:19 - 00000000 ____D C:\ProgramData\IHProtectUpDate

2016-04-14 19:25 - 2015-02-04 01:18 - 00000000 ____D C:\Users\Все пользователи\WindowsMangerProtect

2016-04-14 19:25 - 2015-02-04 01:18 - 00000000 ____D C:\ProgramData\WindowsMangerProtect



Task: {3A74B321-09A7-4A86-BEDF-5FE07781D664} - \{F0C24D45-740D-4D05-A41B-D73B76C35A2A} -> No File <==== ATTENTION



Task: {458D8091-1CCA-4312-820D-D461752FEE67} - \74cffd73-9393-4ea5-866a-774e8965ca62-7 -> No File <==== ATTENTION



Task: C:\Windows\Tasks\74cffd73-9393-4ea5-866a-774e8965ca62-7.job => C:\Program Files (x86)\CinemaPlus12bV04.02\74cffd73-9393-4ea5-866a-774e8965ca62-7.exe <==== ATTENTION

Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

16 апреля, 2016

Сделал. Вот прикрепляю fixlog

Fixlog.txt

17 апреля, 2016

C расшифровкой не поможем

17 апреля, 2016

А что возможно сделать и куда обратиться в моем случае? Писать злоумышленникам?

Изменено 17 апреля, 2016 пользователем studionuance

neitrino Шифровальщик

Рекомендуемые сообщения

studionuance

Mark D. Pearlstone

studionuance

mike 1

studionuance

mike 1

studionuance

Elly

studionuance

thyrex

studionuance

thyrex

studionuance

thyrex

studionuance

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum