crysh Опубликовано 27 апреля, 2016 Share Опубликовано 27 апреля, 2016 Добрый день. После скачивания CS зашифровались все файлы с расширениями doc, jpeg, pdf. Помогите пожалуйста с расшифровкой. CollectionLog-2016.04.27-14.29.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 27 апреля, 2016 Share Опубликовано 27 апреля, 2016 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files (x86)\SysPlayer\updater.exe',''); QuarantineFile('C:\ProgramData\ShopperPro\spbihe.js',''); QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Video\zikk.exe',''); QuarantineFile('C:\PROGRA~1\COMMON~1\System\SYSPLA~2.DLL',''); DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}'); DelBHO('{A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C}'); QuarantineFile('C:\ProgramData\ShopperPro\ShopperPro.dll',''); QuarantineFile('C:\Users\User\AppData\Local\WjPEpNLb\mdSyqcVxHn1.exe',''); QuarantineFile('C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.202\jsdrv.exe',''); QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe',''); QuarantineFile('C:\ProgramData\WindowsMsg\osmsg.exe',''); DeleteService('QMUdisk'); DeleteService('softaal'); DeleteService('SRepairDrv'); DeleteService('TsDefenseBt'); DeleteService('tsnethlpx64'); DeleteService('TSSKX64'); SetServiceStart('ContentProtectorDrv', 4); DeleteService('ContentProtectorDrv'); DeleteService('QQPCRTP'); SetServiceStart('gegulipizbt', 4); DeleteService('gegulipizbt'); SetServiceStart('clr_optimization_v1.0', 4); DeleteService('clr_optimization_v1.0'); QuarantineFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys',''); TerminateProcessByName('c:\users\user\appdata\local\032b0290-1461024389-055a-2d06-ea0700080009\qnsod4b2.tmp'); QuarantineFile('c:\users\user\appdata\local\032b0290-1461024389-055a-2d06-ea0700080009\qnsod4b2.tmp',''); TerminateProcessByName('c:\users\user\appdata\roaming\nssm.exe'); QuarantineFile('c:\users\user\appdata\roaming\nssm.exe',''); DeleteFile('c:\users\user\appdata\roaming\nssm.exe','32'); DeleteFile('c:\users\user\appdata\local\032b0290-1461024389-055a-2d06-ea0700080009\qnsod4b2.tmp','32'); DeleteFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17347.218\QQPCRtp.exe','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17347.218\QMUdisk64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\softaal64.sys','32'); DeleteFile('C:\Windows\GJFix\SRepairDrv','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17347.218\TsDefenseBT64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17347.218\TsNetHlpX64.sys','32'); DeleteFile('C:\Windows\system32\drivers\tsskx64.sys','32'); DeleteFile('C:\ProgramData\WindowsMsg\osmsg.exe','32'); DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','32'); DeleteFile('C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.202\jsdrv.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SPDriver','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpaceSoundPro','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\osmsg','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{754DF2CE-51E8-4895-B53C-6381418B84AE}'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17347.218\plugins\FileSmash\QMSoftExt.dll','32'); DeleteFile('C:\Users\User\AppData\Local\WjPEpNLb\mdSyqcVxHn1.exe','32'); DeleteFile('C:\ProgramData\ShopperPro\ShopperPro.dll','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Maintenance\SPMupdate2','64'); DeleteFile('C:\PROGRA~1\COMMON~1\System\SYSPLA~2.DLL','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Multimedia\SPMupdate3','64'); DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Video\zikk.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft Windows Video','64'); DeleteFile('C:\Windows\system32\Tasks\ShopperPro','64'); DeleteFile('C:\Windows\system32\Tasks\ShopperProJSUpd','64'); DeleteFile('C:\Windows\system32\Tasks\ShopperProUpd','64'); DeleteFile('C:\Program Files (x86)\ShopperPro\updater.exe','32'); DeleteFile('C:\Program Files (x86)\ShopperPro\ShopperPro.exe','32'); DeleteFile('C:\Windows\system32\Tasks\SPBIW_UpdateTask_Time_333539353534303235382d2d37505a2a6c55326c342341','64'); DeleteFile('C:\ProgramData\ShopperPro\spbihe.js','32'); DeleteFile('C:\Windows\system32\Tasks\SPMupdate1','64'); DeleteFile('C:\Windows\system32\Tasks\SPDriver','64'); DeleteFile('C:\Windows\system32\Tasks\SysPlayerUpd','64'); DeleteFile('C:\Program Files (x86)\SysPlayer\updater.exe','32'); DeleteFile('C:\Windows\system32\Tasks\{EFFBBD3E-EA20-45C2-B801-0946C1D18EA7}','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. 1. Распакуйте архив с утилитой в отдельную папку. 2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке 3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. 4. Прикрепите этот отчет к своему следующему сообщению. Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи Ссылка на комментарий Поделиться на другие сайты More sharing options...
crysh Опубликовано 27 апреля, 2016 Автор Share Опубликовано 27 апреля, 2016 Полученный ответ: Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. osmsg.exe - not-a-virus:AdWare.Win32.Agent.jvjiqnsod4b2.tmp - not-a-virus:AdWare.Win32.ConvertAd.bbhfЭто файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление баз.ContentProtectorDrv.sys - not-a-virus:RiskTool.Win64.NetFilter.cfЭто - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.nssm.exeВредоносный код в файле не обнаружен. KLAN-4173773373 CollectionLog-2016.04.27-20.04.zip ClearLNK-27.04.2016_19-49.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 27 апреля, 2016 Share Опубликовано 27 апреля, 2016 Сделайте лог полного сканирования МВАМ Ссылка на комментарий Поделиться на другие сайты More sharing options...
crysh Опубликовано 29 апреля, 2016 Автор Share Опубликовано 29 апреля, 2016 Готово. mbam.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 29 апреля, 2016 Share Опубликовано 29 апреля, 2016 Удалите в МВАМ все найденное Ссылка на комментарий Поделиться на другие сайты More sharing options...
crysh Опубликовано 29 апреля, 2016 Автор Share Опубликовано 29 апреля, 2016 Удалил. Файлы всё равно зашифрованы. Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 29 апреля, 2016 Share Опубликовано 29 апреля, 2016 Восстановление файлов будет на последнем этапе после зачистки мусора. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении. 6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
crysh Опубликовано 29 апреля, 2016 Автор Share Опубликовано 29 апреля, 2016 Готово. FRST.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 29 апреля, 2016 Share Опубликовано 29 апреля, 2016 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: HKLM-x32\...\Run: [] => [X] CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR HKU\S-1-5-21-1110609543-1180543350-3337245361-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKU\S-1-5-21-1110609543-1180543350-3337245361-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=131046350428920644&GUID=3489313F-233B-43D8-B636-7F6499291D77 BHO-x32: У¦УГ±¦Т»јь°ІЧ°Іејю -> {50F4150A-48B2-417A-BE4C-C83F580FB904} -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司) BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File FF Plugin-x32: @qq.com/npAndroidAssistant -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司) CHR Extension: (Http blocker) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\okjdabpnodcpnemmamodgoikmabakaeb [2016-03-24] CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [kmafjceipgfaoldhhbkgdihfbjaioaen] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ojhagnahfpegocdhlopgljpaafeogmcc] - C:\Program Files (x86)\ShopperPro\ShopperPro.crx <not found> OPR Extension: (Антимат) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\dojgfgknadakhfnaogaipdbdamepeffe [2016-04-29] 2016-04-17 20:48 - 2016-04-17 20:48 - 00615457 _____ C:\Users\User\Downloads\6134.tmp 2016-04-17 20:48 - 2016-04-17 20:48 - 00615457 _____ C:\Users\User\Downloads\4F87.tmp 2016-03-23 15:05 - 2016-03-24 11:06 - 00000000 ____D C:\Users\Все пользователи\OWdMO 2016-03-23 15:05 - 2016-03-24 11:06 - 00000000 ____D C:\ProgramData\OWdMO 2016-03-23 15:05 - 2016-03-23 15:18 - 00015482 _____ C:\Users\Все пользователи\webad.xml 2016-03-23 15:05 - 2016-03-23 15:18 - 00015482 _____ C:\ProgramData\webad.xml 2016-03-23 15:03 - 2016-04-05 02:41 - 00000000 ____D C:\Program Files (x86)\badu 2016-03-23 15:03 - 2016-03-23 15:12 - 00000000 ____D C:\Users\Все пользователи\ContentProtector 2016-03-23 15:03 - 2016-03-23 15:12 - 00000000 ____D C:\ProgramData\ContentProtector 2016-03-23 15:03 - 2016-03-23 15:03 - 00000000 ____D C:\Users\User\AppData\Roaming\gplyra 2016-03-23 15:03 - 2016-03-23 15:03 - 00000000 _____ C:\Windows\SysWOW64\Number of results 2016-03-16 23:07 - 2016-03-23 14:59 - 00000000 ____D C:\Windows\GJFix 2016-03-16 23:07 - 2016-03-16 23:07 - 00005120 _____ C:\Users\User\AppData\Roaming\GiftBag.db 2016-03-16 23:06 - 2016-03-17 07:41 - 00000000 ____D C:\Users\Все пользователи\TXQMPC 2016-03-16 23:06 - 2016-03-17 07:41 - 00000000 ____D C:\ProgramData\TXQMPC 2016-03-16 23:06 - 2016-03-17 00:35 - 00054904 _____ (电脑管家) C:\Windows\system32\Drivers\TSSKX64.sys 2016-03-16 23:06 - 2016-03-16 23:06 - 00000000 ____D C:\Program Files\Common Files\Tencent 2016-03-16 23:05 - 2016-03-17 00:35 - 00097400 _____ (电脑管家) C:\Windows\system32\Drivers\TFsFltX64.sys 2016-03-16 23:02 - 2016-03-17 07:10 - 00000000 ____D C:\Users\User\AppData\Local\WjPEpNLb 2016-03-16 23:02 - 2016-03-17 07:10 - 00000000 ____D C:\Users\User\AppData\Local\pETbUF 2016-03-16 23:02 - 2016-03-16 23:55 - 00000000 ____D C:\Users\User\AppData\Roaming\Tencent 2016-03-16 23:02 - 2016-03-16 23:02 - 00000000 ____D C:\Program Files (x86)\Tencent 2016-03-16 22:51 - 2016-04-29 13:40 - 00000000 ____D C:\Users\User\AppData\Local\032B0290-1458168697-055A-2D06-EA0700080009 2016-03-16 22:51 - 2016-03-16 23:09 - 00000000 ____D C:\Users\Все пользователи\Tencent 2016-03-16 22:51 - 2016-03-16 23:09 - 00000000 ____D C:\ProgramData\Tencent 2016-03-16 22:50 - 2016-03-16 22:48 - 00000170 _____ C:\Windows\system32\Drivers\etc\hp.bak 2016-03-16 22:49 - 2016-03-17 07:10 - 00000000 ____D C:\Users\User\AppData\Local\Hostinstaller 2016-03-16 22:49 - 2016-03-16 22:49 - 00003542 _____ C:\Windows\System32\Tasks\Soft installer 2016-03-16 22:48 - 2016-04-29 13:43 - 00001027 ____X C:\Users\User\Desktop\ImageCropResize.lnk 2016-03-16 22:48 - 2016-03-16 23:00 - 00000000 ____D C:\Users\User\AppData\Roaming\ImageCropResize 2016-03-16 22:47 - 2016-03-16 22:47 - 00000190 ____X C:\Users\User\Desktop\Искать в Интернете.url C:\Users\User\AppData\Local\Temp\fsdE470.exe Task: {0184FD62-6ACB-4AB2-94F0-8D234D1B51AB} - \Microsoft\Windows\Maintenance\SPMupdate2 -> No File <==== ATTENTION Task: {592D5F27-B62D-43AF-88FD-4F0FFDB695C1} - \SPMupdate1 -> No File <==== ATTENTION Task: {6E3765A4-15DA-4178-B9D7-4DB573E9E9C1} - \Microsoft\Windows\Multimedia\SPMupdate3 -> No File <==== ATTENTION Task: {6FBA4015-1361-4795-8A8A-45588F075C00} - \ShopperProUpd -> No File <==== ATTENTION Task: {76FCBB9B-3212-4AB4-A7A0-54CD54828390} - \{EFFBBD3E-EA20-45C2-B801-0946C1D18EA7} -> No File <==== ATTENTION Task: {B19F68F5-AE9B-448F-AD1B-82C31E190568} - \Microsoft Windows Video -> No File <==== ATTENTION Task: {CCB35591-EB95-4F51-98F8-73652E52F141} - \SysPlayerUpd -> No File <==== ATTENTION HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на комментарий Поделиться на другие сайты More sharing options...
crysh Опубликовано 29 апреля, 2016 Автор Share Опубликовано 29 апреля, 2016 Готово. Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 29 апреля, 2016 Share Опубликовано 29 апреля, 2016 Образцы поврежденных файлов пришлите Ссылка на комментарий Поделиться на другие сайты More sharing options...
crysh Опубликовано 29 апреля, 2016 Автор Share Опубликовано 29 апреля, 2016 Вот. Sample.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 29 апреля, 2016 Share Опубликовано 29 апреля, 2016 Проверьте ЛС Ссылка на комментарий Поделиться на другие сайты More sharing options...
crysh Опубликовано 12 мая, 2016 Автор Share Опубликовано 12 мая, 2016 Спасибо огромное! Всё расшифровал. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти