crysh 0 Опубликовано 27 апреля, 2016 Share Опубликовано 27 апреля, 2016 Добрый день. После скачивания CS зашифровались все файлы с расширениями doc, jpeg, pdf. Помогите пожалуйста с расшифровкой. CollectionLog-2016.04.27-14.29.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 493 Опубликовано 27 апреля, 2016 Share Опубликовано 27 апреля, 2016 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files (x86)\SysPlayer\updater.exe',''); QuarantineFile('C:\ProgramData\ShopperPro\spbihe.js',''); QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Video\zikk.exe',''); QuarantineFile('C:\PROGRA~1\COMMON~1\System\SYSPLA~2.DLL',''); DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}'); DelBHO('{A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C}'); QuarantineFile('C:\ProgramData\ShopperPro\ShopperPro.dll',''); QuarantineFile('C:\Users\User\AppData\Local\WjPEpNLb\mdSyqcVxHn1.exe',''); QuarantineFile('C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.202\jsdrv.exe',''); QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe',''); QuarantineFile('C:\ProgramData\WindowsMsg\osmsg.exe',''); DeleteService('QMUdisk'); DeleteService('softaal'); DeleteService('SRepairDrv'); DeleteService('TsDefenseBt'); DeleteService('tsnethlpx64'); DeleteService('TSSKX64'); SetServiceStart('ContentProtectorDrv', 4); DeleteService('ContentProtectorDrv'); DeleteService('QQPCRTP'); SetServiceStart('gegulipizbt', 4); DeleteService('gegulipizbt'); SetServiceStart('clr_optimization_v1.0', 4); DeleteService('clr_optimization_v1.0'); QuarantineFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys',''); TerminateProcessByName('c:\users\user\appdata\local\032b0290-1461024389-055a-2d06-ea0700080009\qnsod4b2.tmp'); QuarantineFile('c:\users\user\appdata\local\032b0290-1461024389-055a-2d06-ea0700080009\qnsod4b2.tmp',''); TerminateProcessByName('c:\users\user\appdata\roaming\nssm.exe'); QuarantineFile('c:\users\user\appdata\roaming\nssm.exe',''); DeleteFile('c:\users\user\appdata\roaming\nssm.exe','32'); DeleteFile('c:\users\user\appdata\local\032b0290-1461024389-055a-2d06-ea0700080009\qnsod4b2.tmp','32'); DeleteFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17347.218\QQPCRtp.exe','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17347.218\QMUdisk64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\softaal64.sys','32'); DeleteFile('C:\Windows\GJFix\SRepairDrv','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17347.218\TsDefenseBT64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17347.218\TsNetHlpX64.sys','32'); DeleteFile('C:\Windows\system32\drivers\tsskx64.sys','32'); DeleteFile('C:\ProgramData\WindowsMsg\osmsg.exe','32'); DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','32'); DeleteFile('C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.202\jsdrv.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SPDriver','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpaceSoundPro','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\osmsg','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{754DF2CE-51E8-4895-B53C-6381418B84AE}'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17347.218\plugins\FileSmash\QMSoftExt.dll','32'); DeleteFile('C:\Users\User\AppData\Local\WjPEpNLb\mdSyqcVxHn1.exe','32'); DeleteFile('C:\ProgramData\ShopperPro\ShopperPro.dll','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Maintenance\SPMupdate2','64'); DeleteFile('C:\PROGRA~1\COMMON~1\System\SYSPLA~2.DLL','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Multimedia\SPMupdate3','64'); DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Video\zikk.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft Windows Video','64'); DeleteFile('C:\Windows\system32\Tasks\ShopperPro','64'); DeleteFile('C:\Windows\system32\Tasks\ShopperProJSUpd','64'); DeleteFile('C:\Windows\system32\Tasks\ShopperProUpd','64'); DeleteFile('C:\Program Files (x86)\ShopperPro\updater.exe','32'); DeleteFile('C:\Program Files (x86)\ShopperPro\ShopperPro.exe','32'); DeleteFile('C:\Windows\system32\Tasks\SPBIW_UpdateTask_Time_333539353534303235382d2d37505a2a6c55326c342341','64'); DeleteFile('C:\ProgramData\ShopperPro\spbihe.js','32'); DeleteFile('C:\Windows\system32\Tasks\SPMupdate1','64'); DeleteFile('C:\Windows\system32\Tasks\SPDriver','64'); DeleteFile('C:\Windows\system32\Tasks\SysPlayerUpd','64'); DeleteFile('C:\Program Files (x86)\SysPlayer\updater.exe','32'); DeleteFile('C:\Windows\system32\Tasks\{EFFBBD3E-EA20-45C2-B801-0946C1D18EA7}','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. 1. Распакуйте архив с утилитой в отдельную папку. 2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке 3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. 4. Прикрепите этот отчет к своему следующему сообщению. Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи Цитата Ссылка на сообщение Поделиться на другие сайты
crysh 0 Опубликовано 27 апреля, 2016 Автор Share Опубликовано 27 апреля, 2016 Полученный ответ: Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. osmsg.exe - not-a-virus:AdWare.Win32.Agent.jvjiqnsod4b2.tmp - not-a-virus:AdWare.Win32.ConvertAd.bbhfЭто файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление баз.ContentProtectorDrv.sys - not-a-virus:RiskTool.Win64.NetFilter.cfЭто - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.nssm.exeВредоносный код в файле не обнаружен. KLAN-4173773373 CollectionLog-2016.04.27-20.04.zip ClearLNK-27.04.2016_19-49.log Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 493 Опубликовано 27 апреля, 2016 Share Опубликовано 27 апреля, 2016 Сделайте лог полного сканирования МВАМ Цитата Ссылка на сообщение Поделиться на другие сайты
crysh 0 Опубликовано 29 апреля, 2016 Автор Share Опубликовано 29 апреля, 2016 Готово. mbam.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 493 Опубликовано 29 апреля, 2016 Share Опубликовано 29 апреля, 2016 Удалите в МВАМ все найденное Цитата Ссылка на сообщение Поделиться на другие сайты
crysh 0 Опубликовано 29 апреля, 2016 Автор Share Опубликовано 29 апреля, 2016 Удалил. Файлы всё равно зашифрованы. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 493 Опубликовано 29 апреля, 2016 Share Опубликовано 29 апреля, 2016 Восстановление файлов будет на последнем этапе после зачистки мусора. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении. 6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
crysh 0 Опубликовано 29 апреля, 2016 Автор Share Опубликовано 29 апреля, 2016 Готово. FRST.rar Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 493 Опубликовано 29 апреля, 2016 Share Опубликовано 29 апреля, 2016 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: HKLM-x32\...\Run: [] => [X] CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR HKU\S-1-5-21-1110609543-1180543350-3337245361-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKU\S-1-5-21-1110609543-1180543350-3337245361-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=131046350428920644&GUID=3489313F-233B-43D8-B636-7F6499291D77 BHO-x32: У¦УГ±¦Т»јь°ІЧ°Іејю -> {50F4150A-48B2-417A-BE4C-C83F580FB904} -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司) BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File FF Plugin-x32: @qq.com/npAndroidAssistant -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司) CHR Extension: (Http blocker) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\okjdabpnodcpnemmamodgoikmabakaeb [2016-03-24] CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [kmafjceipgfaoldhhbkgdihfbjaioaen] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ojhagnahfpegocdhlopgljpaafeogmcc] - C:\Program Files (x86)\ShopperPro\ShopperPro.crx <not found> OPR Extension: (Антимат) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\dojgfgknadakhfnaogaipdbdamepeffe [2016-04-29] 2016-04-17 20:48 - 2016-04-17 20:48 - 00615457 _____ C:\Users\User\Downloads\6134.tmp 2016-04-17 20:48 - 2016-04-17 20:48 - 00615457 _____ C:\Users\User\Downloads\4F87.tmp 2016-03-23 15:05 - 2016-03-24 11:06 - 00000000 ____D C:\Users\Все пользователи\OWdMO 2016-03-23 15:05 - 2016-03-24 11:06 - 00000000 ____D C:\ProgramData\OWdMO 2016-03-23 15:05 - 2016-03-23 15:18 - 00015482 _____ C:\Users\Все пользователи\webad.xml 2016-03-23 15:05 - 2016-03-23 15:18 - 00015482 _____ C:\ProgramData\webad.xml 2016-03-23 15:03 - 2016-04-05 02:41 - 00000000 ____D C:\Program Files (x86)\badu 2016-03-23 15:03 - 2016-03-23 15:12 - 00000000 ____D C:\Users\Все пользователи\ContentProtector 2016-03-23 15:03 - 2016-03-23 15:12 - 00000000 ____D C:\ProgramData\ContentProtector 2016-03-23 15:03 - 2016-03-23 15:03 - 00000000 ____D C:\Users\User\AppData\Roaming\gplyra 2016-03-23 15:03 - 2016-03-23 15:03 - 00000000 _____ C:\Windows\SysWOW64\Number of results 2016-03-16 23:07 - 2016-03-23 14:59 - 00000000 ____D C:\Windows\GJFix 2016-03-16 23:07 - 2016-03-16 23:07 - 00005120 _____ C:\Users\User\AppData\Roaming\GiftBag.db 2016-03-16 23:06 - 2016-03-17 07:41 - 00000000 ____D C:\Users\Все пользователи\TXQMPC 2016-03-16 23:06 - 2016-03-17 07:41 - 00000000 ____D C:\ProgramData\TXQMPC 2016-03-16 23:06 - 2016-03-17 00:35 - 00054904 _____ (电脑管家) C:\Windows\system32\Drivers\TSSKX64.sys 2016-03-16 23:06 - 2016-03-16 23:06 - 00000000 ____D C:\Program Files\Common Files\Tencent 2016-03-16 23:05 - 2016-03-17 00:35 - 00097400 _____ (电脑管家) C:\Windows\system32\Drivers\TFsFltX64.sys 2016-03-16 23:02 - 2016-03-17 07:10 - 00000000 ____D C:\Users\User\AppData\Local\WjPEpNLb 2016-03-16 23:02 - 2016-03-17 07:10 - 00000000 ____D C:\Users\User\AppData\Local\pETbUF 2016-03-16 23:02 - 2016-03-16 23:55 - 00000000 ____D C:\Users\User\AppData\Roaming\Tencent 2016-03-16 23:02 - 2016-03-16 23:02 - 00000000 ____D C:\Program Files (x86)\Tencent 2016-03-16 22:51 - 2016-04-29 13:40 - 00000000 ____D C:\Users\User\AppData\Local\032B0290-1458168697-055A-2D06-EA0700080009 2016-03-16 22:51 - 2016-03-16 23:09 - 00000000 ____D C:\Users\Все пользователи\Tencent 2016-03-16 22:51 - 2016-03-16 23:09 - 00000000 ____D C:\ProgramData\Tencent 2016-03-16 22:50 - 2016-03-16 22:48 - 00000170 _____ C:\Windows\system32\Drivers\etc\hp.bak 2016-03-16 22:49 - 2016-03-17 07:10 - 00000000 ____D C:\Users\User\AppData\Local\Hostinstaller 2016-03-16 22:49 - 2016-03-16 22:49 - 00003542 _____ C:\Windows\System32\Tasks\Soft installer 2016-03-16 22:48 - 2016-04-29 13:43 - 00001027 ____X C:\Users\User\Desktop\ImageCropResize.lnk 2016-03-16 22:48 - 2016-03-16 23:00 - 00000000 ____D C:\Users\User\AppData\Roaming\ImageCropResize 2016-03-16 22:47 - 2016-03-16 22:47 - 00000190 ____X C:\Users\User\Desktop\Искать в Интернете.url C:\Users\User\AppData\Local\Temp\fsdE470.exe Task: {0184FD62-6ACB-4AB2-94F0-8D234D1B51AB} - \Microsoft\Windows\Maintenance\SPMupdate2 -> No File <==== ATTENTION Task: {592D5F27-B62D-43AF-88FD-4F0FFDB695C1} - \SPMupdate1 -> No File <==== ATTENTION Task: {6E3765A4-15DA-4178-B9D7-4DB573E9E9C1} - \Microsoft\Windows\Multimedia\SPMupdate3 -> No File <==== ATTENTION Task: {6FBA4015-1361-4795-8A8A-45588F075C00} - \ShopperProUpd -> No File <==== ATTENTION Task: {76FCBB9B-3212-4AB4-A7A0-54CD54828390} - \{EFFBBD3E-EA20-45C2-B801-0946C1D18EA7} -> No File <==== ATTENTION Task: {B19F68F5-AE9B-448F-AD1B-82C31E190568} - \Microsoft Windows Video -> No File <==== ATTENTION Task: {CCB35591-EB95-4F51-98F8-73652E52F141} - \SysPlayerUpd -> No File <==== ATTENTION HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
crysh 0 Опубликовано 29 апреля, 2016 Автор Share Опубликовано 29 апреля, 2016 Готово. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 493 Опубликовано 29 апреля, 2016 Share Опубликовано 29 апреля, 2016 Образцы поврежденных файлов пришлите Цитата Ссылка на сообщение Поделиться на другие сайты
crysh 0 Опубликовано 29 апреля, 2016 Автор Share Опубликовано 29 апреля, 2016 Вот. Sample.rar Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 493 Опубликовано 29 апреля, 2016 Share Опубликовано 29 апреля, 2016 Проверьте ЛС Цитата Ссылка на сообщение Поделиться на другие сайты
crysh 0 Опубликовано 12 мая, 2016 Автор Share Опубликовано 12 мая, 2016 Спасибо огромное! Всё расшифровал. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.