И я подхватил da_vinci_code :(

[Ин Алексей]

У клиента на компе оказался целый рассадник, но заметил слишком поздно, так как на Рабочем столе файлы остались незашифрованы.  

Прилагаю отчёты.

P.S.: И вопрос оффтопом - а как связываться-то с вирусописателями? Раньше хоть readme.txt оставляли с контактами. Зашифрованы важные рабочие файлы, времени на ожидание дешифровщика особо нет

 

 

 

logs.rar

[mike 1]

 

 

 Зашифрованы важные рабочие файлы, времени на ожидание дешифровщика особо нет

Тогда придется платить злодеям за халатность некоторых пользователей.

 

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Изменено 16 мая, 2016 пользователем mike 1

[Ин Алексей]

Необходимые действия произвёл, Прикрепляю файлы логов Autologger-а, а также логи adwcleaner-а, пользователь вчера его запустил сразу после обнаружения шифрованных файлов.

CollectionLog-2016.05.17-12.13.zip

AdwCleaner_log.rar

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Ин Алексей]

Прилагаю

FRST.txt

Addition.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

HKLM-x32\...\Run: [ZaxarLoader] => "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent

HKLM-x32\...\Run: [Kinoroom Browser] => "C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe" --auto-run-reg

HKLM\...\Policies\Explorer\Run: [AppDownloads] => C:\Program Files (x86)\Common Files\CAF5EFF3-DFBC-4BA6-8ED8-6D460451AC7B\F91D968B-AF7E-4A92-B898-5C3C470BE0D5.exe

HKU\S-1-5-21-3661794119-194191275-146942702-1000\...\Run: [Timestasks] => "C:\ProgramData\TimeTasks\TimeTasksSetup.exe" /adv= /S

HKU\S-1-5-21-3661794119-194191275-146942702-1000\...\Run: [EpicScale] => 0

CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

CHR HKU\S-1-5-21-3661794119-194191275-146942702-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION

HKU\S-1-5-21-3661794119-194191275-146942702-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=37cbe73a9fb1dccc53a5ca27b047bcc6&text={searchTerms}

HKU\S-1-5-21-3661794119-194191275-146942702-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=37cbe73a9fb1dccc53a5ca27b047bcc6&text={searchTerms}

SearchScopes: HKU\S-1-5-21-3661794119-194191275-146942702-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=37cbe73a9fb1dccc53a5ca27b047bcc6&text={searchTerms}

SearchScopes: HKU\S-1-5-21-3661794119-194191275-146942702-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=37cbe73a9fb1dccc53a5ca27b047bcc6&text=

Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File

Toolbar: HKU\S-1-5-21-3661794119-194191275-146942702-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File

2016-05-13 14:43 - 2016-05-16 09:15 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-05-13 14:43 - 2016-05-16 09:15 - 00000000 __SHD C:\ProgramData\Windows

2016-04-28 11:11 - 2016-05-16 16:11 - 00000000 __SHD C:\Users\Все пользователи\KRB Updater Utility

2016-04-28 11:11 - 2016-05-16 16:11 - 00000000 __SHD C:\ProgramData\KRB Updater Utility

2016-04-28 11:11 - 2016-04-28 11:23 - 00000000 ____D C:\Program Files (x86)\Kinoroom Browser

2016-04-28 11:09 - 2016-05-10 09:08 - 00000000 ____D C:\Users\Ин\AppData\LocalLow\Unity

2016-04-28 11:09 - 2016-05-10 09:08 - 00000000 ____D C:\Users\Ин\AppData\Local\Unity

2016-04-28 11:09 - 2016-04-28 11:10 - 00000000 ____D C:\Users\Все пользователи\UBar

2016-04-28 11:09 - 2016-04-28 11:10 - 00000000 ____D C:\ProgramData\UBar

2016-05-04 09:35 - 2016-05-05 09:12 - 00000000 ____D C:\Users\Ин\AppData\Local\Kometa

2014-12-29 08:59 - 2014-12-29 08:59 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys

2014-09-29 08:54 - 2014-09-29 08:54 - 0000001 _____ () C:\Users\Ин\AppData\Roaming\smw_inst

2014-07-16 10:45 - 2014-07-16 10:45 - 0033193 _____ () C:\Users\Ин\AppData\Roaming\UserTile.png

2014-09-29 08:54 - 2014-09-29 08:54 - 0000160 ____H () C:\Users\Ин\AppData\Local\BrowserManager.bat

2015-04-15 10:35 - 2016-05-16 14:39 - 0004096 ____H () C:\Users\Ин\AppData\Local\keyfile3.drm

2014-10-14 11:16 - 2014-10-14 11:16 - 0627584 _____ (CMI Limited) C:\Users\Ин\AppData\Local\nsf4723.tmp

C:\Users\Ин\AppData\Local\Temp\0IsMVoxOYrkL.exe

C:\Users\Ин\AppData\Local\Temp\1mMhbcbnxStA.exe

C:\Users\Ин\AppData\Local\Temp\2uJ2zjowtx5i.exe

C:\Users\Ин\AppData\Local\Temp\5B2BB012-D492-4440-9D3B-874C33D706CA.exe

C:\Users\Ин\AppData\Local\Temp\6F18A219BFE09282.exe

C:\Users\Ин\AppData\Local\Temp\7FA1362F-7C17-4B06-ACC8-E6D9E7788071.exe

C:\Users\Ин\AppData\Local\Temp\8Hk0TU38b1f7.exe

C:\Users\Ин\AppData\Local\Temp\AD36E13357D13604.exe

C:\Users\Ин\AppData\Local\Temp\aiJqcR5WntlN.exe

C:\Users\Ин\AppData\Local\Temp\BAB3F4A964FB6F52.exe

C:\Users\Ин\AppData\Local\Temp\BaiduAn.Setup.2.3.0.2225.j_1100035511.exe

C:\Users\Ин\AppData\Local\Temp\biU5tg4Pn5Bp.exe

C:\Users\Ин\AppData\Local\Temp\brFTKqQroOOs.exe

C:\Users\Ин\AppData\Local\Temp\coi1.exe

C:\Users\Ин\AppData\Local\Temp\dccPeixImRXa.exe

C:\Users\Ин\AppData\Local\Temp\Djbx1KoYpkoa.exe

C:\Users\Ин\AppData\Local\Temp\DWKg0LNBxPWR.exe

C:\Users\Ин\AppData\Local\Temp\EqCr1cdakpEZ.exe

C:\Users\Ин\AppData\Local\Temp\exereader.exe

C:\Users\Ин\AppData\Local\Temp\F0722_s_30803.exe

C:\Users\Ин\AppData\Local\Temp\FBD45A435BD0D354.exe

C:\Users\Ин\AppData\Local\Temp\HakiVCUGmVGN.exe

C:\Users\Ин\AppData\Local\Temp\hdinst_x64.exe

C:\Users\Ин\AppData\Local\Temp\iFdqeKtdiEYz.exe

C:\Users\Ин\AppData\Local\Temp\iOa6UWS7QIqZ.exe

C:\Users\Ин\AppData\Local\Temp\jFM3XeN8XAsO.exe

C:\Users\Ин\AppData\Local\Temp\KeAsAHeqQq9b.exe

C:\Users\Ин\AppData\Local\Temp\KoilB4QeJjvL.exe

C:\Users\Ин\AppData\Local\Temp\mediaget-uninstaller.exe

C:\Users\Ин\AppData\Local\Temp\offer-DEFD9C3C-0456-4C4A-AE51-A0D628F594AE.exe

C:\Users\Ин\AppData\Local\Temp\oHhehTSJ4QMN.exe

C:\Users\Ин\AppData\Local\Temp\ose00000.exe

C:\Users\Ин\AppData\Local\Temp\ose00001.exe

C:\Users\Ин\AppData\Local\Temp\oViq8I282dK9.exe

C:\Users\Ин\AppData\Local\Temp\plVNG3C9wjB0.exe

C:\Users\Ин\AppData\Local\Temp\pYhpTkxY3xEq.exe

C:\Users\Ин\AppData\Local\Temp\q2WhSqcWW0tI.exe

C:\Users\Ин\AppData\Local\Temp\RKm0UIQJg4MQ.exe

C:\Users\Ин\AppData\Local\Temp\sender.exe

C:\Users\Ин\AppData\Local\Temp\tdNTEIvqBl2M.exe

C:\Users\Ин\AppData\Local\Temp\VqVS4Jsxczfh.exe

C:\Users\Ин\AppData\Local\Temp\WCP1K3hXd2oo.exe

C:\Users\Ин\AppData\Local\Temp\XtaQoxkuzmUo.exe

C:\Users\Ин\AppData\Local\Temp\y1QZRxoFrTCw.exe

C:\Users\Ин\AppData\Local\Temp\ZaxarSetup.4.001.33.exe

C:\Users\Ин\AppData\Local\Temp\ZSV6lOmivmic.exe

C:\Users\Ин\AppData\Local\Temp\Zu4fSMvZIdkl.exe

C:\Users\Ин\AppData\Local\Temp\zxUTayU7Ov13.exe

Task: {24688C07-D9C2-4FF0-8F6F-10C2BD7960A2} - \Microsoft\Windows\A59287182-766E-418B-91A3-69849115F1BD -> No File <==== ATTENTION

Task: {4062CFD4-E47E-4ECA-8009-82F260243930} - \Microsoft\SafeBrowser -> No File <==== ATTENTION

Task: {52BF2269-9DE5-4FE3-A59C-CD73A008721D} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION

Task: {944EF690-D613-49F3-BBE3-103484B8333D} - System32\Tasks\chrome5 => C:\Program Files (x86)\Microsoft Data\InstallAddons.exe

Task: {A6E7C88C-186E-4EAF-8070-DA3621D67161} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION

Task: {AC1CBA2F-FE39-4098-836A-4CDEA94D8797} - System32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service => C:\ProgramData\KRB Updater Utility\krbupdater.exe

Task: {B974F9B1-23DA-4C9B-A98D-98F8E7268B36} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION

Task: {BC2689B7-5CDB-4022-82EE-05CA6474F29D} - System32\Tasks\Microsoft\KRBUUS\KRBLNKRUN => C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe

Task: {D3C5B98C-EE4E-44C8-8014-039CD7AA0BF6} - System32\Tasks\chrome5_logon => C:\Program Files (x86)\Microsoft Data\InstallAddons.exe

Task: {DA21131E-F504-40BF-8F01-2A2DBC804B8A} - \Microsoft\extsetup -> No File <==== ATTENTION

Task: {E0F51EFD-7808-471B-A0F6-EB02B6BB411C} - \extsetup -> No File <==== ATTENTION

Task: {EE83CE94-5AA3-4453-85F3-D80543DFA059} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION

Task: {F47E0EC6-3CD5-4493-BB54-5937AFAA0ACA} - \Microsoft\Windows\SafeBrowser -> No File <==== ATTENTION

Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION

Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION

Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION

FirewallRules: [{BB6FE26B-D3BA-409C-A90C-662CD183702A}] => (Allow) C:\Program Files\UBar\ubar.exe

FirewallRules: [{D751CAC6-C6A5-4F36-BE4F-A5FDFCEC1C0A}] => (Allow) C:\Users\Ин\AppData\Local\Temp\F0722_s_30803.exe

FirewallRules: [{7A3B21A1-EE77-40E4-B28D-1CCA6C2CD2F7}] => (Allow) C:\Users\Ин\AppData\Local\Temp\F0722_s_30803.exe

FirewallRules: [{4A6C09E0-495F-4242-8484-309B74F520DA}] => (Allow) C:\Users\Ин\AppData\Local\Temp\F0722_s_30803.exe

FirewallRules: [{6C883FF0-F5E3-48DB-96C5-EF5700ACEE73}] => (Allow) C:\Users\Ин\AppData\Local\Temp\F0722_s_30803.exe

FirewallRules: [{EB7C04DB-C51D-4843-B9CB-E089C6832F29}] => (Allow) C:\Users\Ин\AppData\Local\Temp\BaiduAn.Setup.2.3.0.2225.j_1100035511.exe

FirewallRules: [{A3E0BE84-DB62-4AD5-A8AB-68B4B3ACA624}] => (Allow) C:\Users\Ин\AppData\Local\Temp\BaiduAn.Setup.2.3.0.2225.j_1100035511.exe

FirewallRules: [{0E52F4D5-09BB-4CAE-966C-908CDAA94190}] => (Allow) C:\Users\Ин\AppData\Local\Temp\BaiduAn.Setup.2.3.0.2225.j_1100035511.exe

FirewallRules: [{38D3B4F2-B2F2-4BA6-914A-ADD335814F08}] => (Allow) C:\Users\Ин\AppData\Local\Temp\BaiduAn.Setup.2.3.0.2225.j_1100035511.exe

FirewallRules: [{683F8DDF-0C24-4C54-9B4D-6FC03CE31A3F}] => (Allow) C:\program files (x86)\common files\baidu\bddownload\107\bddownloader.exe

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
  

 

 

[Ин Алексей]

Прикрепил. 

Повторюсь: в логах много чего "not found", так как пользователь с тех пор запускал adwcleaner 

Fixlog.txt

[mike 1]

Пишите запрос  http://forum.kasperskyclub.ru/index.php?showtopic=48525

 

Для повышения уровня компьютерной грамотности ознакомьтесь с этим:

 

1. https://forum.kaspersky.com/index.php?showtopic=314866

2. http://forum.kasperskyclub.ru/index.php?app=blog&module=display&section=blog&blogid=320&showentry=2083