Перейти к содержанию

И я подхватил da_vinci_code :(


Рекомендуемые сообщения

У клиента на компе оказался целый рассадник, но заметил слишком поздно, так как на Рабочем столе файлы остались незашифрованы.  

Прилагаю отчёты.

P.S.: И вопрос оффтопом - а как связываться-то с вирусописателями? Раньше хоть readme.txt оставляли с контактами. Зашифрованы важные рабочие файлы, времени на ожидание дешифровщика особо нет :(

 

 

 

logs.rar

Ссылка на комментарий
Поделиться на другие сайты

 

 

 Зашифрованы важные рабочие файлы, времени на ожидание дешифровщика особо нет

Тогда придется платить злодеям за халатность некоторых пользователей.

 

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Необходимые действия произвёл, Прикрепляю файлы логов Autologger-а, а также логи adwcleaner-а, пользователь вчера его запустил сразу после обнаружения шифрованных файлов.

CollectionLog-2016.05.17-12.13.zip

AdwCleaner_log.rar

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [ZaxarLoader] => "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent
HKLM-x32\...\Run: [Kinoroom Browser] => "C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe" --auto-run-reg
HKLM\...\Policies\Explorer\Run: [AppDownloads] => C:\Program Files (x86)\Common Files\CAF5EFF3-DFBC-4BA6-8ED8-6D460451AC7B\F91D968B-AF7E-4A92-B898-5C3C470BE0D5.exe
HKU\S-1-5-21-3661794119-194191275-146942702-1000\...\Run: [Timestasks] => "C:\ProgramData\TimeTasks\TimeTasksSetup.exe" /adv= /S
HKU\S-1-5-21-3661794119-194191275-146942702-1000\...\Run: [EpicScale] => 0
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-3661794119-194191275-146942702-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-3661794119-194191275-146942702-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=37cbe73a9fb1dccc53a5ca27b047bcc6&text={searchTerms}
HKU\S-1-5-21-3661794119-194191275-146942702-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=37cbe73a9fb1dccc53a5ca27b047bcc6&text={searchTerms}
SearchScopes: HKU\S-1-5-21-3661794119-194191275-146942702-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=37cbe73a9fb1dccc53a5ca27b047bcc6&text={searchTerms}
SearchScopes: HKU\S-1-5-21-3661794119-194191275-146942702-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=37cbe73a9fb1dccc53a5ca27b047bcc6&text=
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-3661794119-194191275-146942702-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2016-05-13 14:43 - 2016-05-16 09:15 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-05-13 14:43 - 2016-05-16 09:15 - 00000000 __SHD C:\ProgramData\Windows
2016-04-28 11:11 - 2016-05-16 16:11 - 00000000 __SHD C:\Users\Все пользователи\KRB Updater Utility
2016-04-28 11:11 - 2016-05-16 16:11 - 00000000 __SHD C:\ProgramData\KRB Updater Utility
2016-04-28 11:11 - 2016-04-28 11:23 - 00000000 ____D C:\Program Files (x86)\Kinoroom Browser
2016-04-28 11:09 - 2016-05-10 09:08 - 00000000 ____D C:\Users\Ин\AppData\LocalLow\Unity
2016-04-28 11:09 - 2016-05-10 09:08 - 00000000 ____D C:\Users\Ин\AppData\Local\Unity
2016-04-28 11:09 - 2016-04-28 11:10 - 00000000 ____D C:\Users\Все пользователи\UBar
2016-04-28 11:09 - 2016-04-28 11:10 - 00000000 ____D C:\ProgramData\UBar
2016-05-04 09:35 - 2016-05-05 09:12 - 00000000 ____D C:\Users\Ин\AppData\Local\Kometa
2014-12-29 08:59 - 2014-12-29 08:59 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
2014-09-29 08:54 - 2014-09-29 08:54 - 0000001 _____ () C:\Users\Ин\AppData\Roaming\smw_inst
2014-07-16 10:45 - 2014-07-16 10:45 - 0033193 _____ () C:\Users\Ин\AppData\Roaming\UserTile.png
2014-09-29 08:54 - 2014-09-29 08:54 - 0000160 ____H () C:\Users\Ин\AppData\Local\BrowserManager.bat
2015-04-15 10:35 - 2016-05-16 14:39 - 0004096 ____H () C:\Users\Ин\AppData\Local\keyfile3.drm
2014-10-14 11:16 - 2014-10-14 11:16 - 0627584 _____ (CMI Limited) C:\Users\Ин\AppData\Local\nsf4723.tmp
C:\Users\Ин\AppData\Local\Temp\0IsMVoxOYrkL.exe
C:\Users\Ин\AppData\Local\Temp\1mMhbcbnxStA.exe
C:\Users\Ин\AppData\Local\Temp\2uJ2zjowtx5i.exe
C:\Users\Ин\AppData\Local\Temp\5B2BB012-D492-4440-9D3B-874C33D706CA.exe
C:\Users\Ин\AppData\Local\Temp\6F18A219BFE09282.exe
C:\Users\Ин\AppData\Local\Temp\7FA1362F-7C17-4B06-ACC8-E6D9E7788071.exe
C:\Users\Ин\AppData\Local\Temp\8Hk0TU38b1f7.exe
C:\Users\Ин\AppData\Local\Temp\AD36E13357D13604.exe
C:\Users\Ин\AppData\Local\Temp\aiJqcR5WntlN.exe
C:\Users\Ин\AppData\Local\Temp\BAB3F4A964FB6F52.exe
C:\Users\Ин\AppData\Local\Temp\BaiduAn.Setup.2.3.0.2225.j_1100035511.exe
C:\Users\Ин\AppData\Local\Temp\biU5tg4Pn5Bp.exe
C:\Users\Ин\AppData\Local\Temp\brFTKqQroOOs.exe
C:\Users\Ин\AppData\Local\Temp\coi1.exe
C:\Users\Ин\AppData\Local\Temp\dccPeixImRXa.exe
C:\Users\Ин\AppData\Local\Temp\Djbx1KoYpkoa.exe
C:\Users\Ин\AppData\Local\Temp\DWKg0LNBxPWR.exe
C:\Users\Ин\AppData\Local\Temp\EqCr1cdakpEZ.exe
C:\Users\Ин\AppData\Local\Temp\exereader.exe
C:\Users\Ин\AppData\Local\Temp\F0722_s_30803.exe
C:\Users\Ин\AppData\Local\Temp\FBD45A435BD0D354.exe
C:\Users\Ин\AppData\Local\Temp\HakiVCUGmVGN.exe
C:\Users\Ин\AppData\Local\Temp\hdinst_x64.exe
C:\Users\Ин\AppData\Local\Temp\iFdqeKtdiEYz.exe
C:\Users\Ин\AppData\Local\Temp\iOa6UWS7QIqZ.exe
C:\Users\Ин\AppData\Local\Temp\jFM3XeN8XAsO.exe
C:\Users\Ин\AppData\Local\Temp\KeAsAHeqQq9b.exe
C:\Users\Ин\AppData\Local\Temp\KoilB4QeJjvL.exe
C:\Users\Ин\AppData\Local\Temp\mediaget-uninstaller.exe
C:\Users\Ин\AppData\Local\Temp\offer-DEFD9C3C-0456-4C4A-AE51-A0D628F594AE.exe
C:\Users\Ин\AppData\Local\Temp\oHhehTSJ4QMN.exe
C:\Users\Ин\AppData\Local\Temp\ose00000.exe
C:\Users\Ин\AppData\Local\Temp\ose00001.exe
C:\Users\Ин\AppData\Local\Temp\oViq8I282dK9.exe
C:\Users\Ин\AppData\Local\Temp\plVNG3C9wjB0.exe
C:\Users\Ин\AppData\Local\Temp\pYhpTkxY3xEq.exe
C:\Users\Ин\AppData\Local\Temp\q2WhSqcWW0tI.exe
C:\Users\Ин\AppData\Local\Temp\RKm0UIQJg4MQ.exe
C:\Users\Ин\AppData\Local\Temp\sender.exe
C:\Users\Ин\AppData\Local\Temp\tdNTEIvqBl2M.exe
C:\Users\Ин\AppData\Local\Temp\VqVS4Jsxczfh.exe
C:\Users\Ин\AppData\Local\Temp\WCP1K3hXd2oo.exe
C:\Users\Ин\AppData\Local\Temp\XtaQoxkuzmUo.exe
C:\Users\Ин\AppData\Local\Temp\y1QZRxoFrTCw.exe
C:\Users\Ин\AppData\Local\Temp\ZaxarSetup.4.001.33.exe
C:\Users\Ин\AppData\Local\Temp\ZSV6lOmivmic.exe
C:\Users\Ин\AppData\Local\Temp\Zu4fSMvZIdkl.exe
C:\Users\Ин\AppData\Local\Temp\zxUTayU7Ov13.exe
Task: {24688C07-D9C2-4FF0-8F6F-10C2BD7960A2} - \Microsoft\Windows\A59287182-766E-418B-91A3-69849115F1BD -> No File <==== ATTENTION
Task: {4062CFD4-E47E-4ECA-8009-82F260243930} - \Microsoft\SafeBrowser -> No File <==== ATTENTION
Task: {52BF2269-9DE5-4FE3-A59C-CD73A008721D} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION
Task: {944EF690-D613-49F3-BBE3-103484B8333D} - System32\Tasks\chrome5 => C:\Program Files (x86)\Microsoft Data\InstallAddons.exe
Task: {A6E7C88C-186E-4EAF-8070-DA3621D67161} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {AC1CBA2F-FE39-4098-836A-4CDEA94D8797} - System32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service => C:\ProgramData\KRB Updater Utility\krbupdater.exe
Task: {B974F9B1-23DA-4C9B-A98D-98F8E7268B36} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {BC2689B7-5CDB-4022-82EE-05CA6474F29D} - System32\Tasks\Microsoft\KRBUUS\KRBLNKRUN => C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe
Task: {D3C5B98C-EE4E-44C8-8014-039CD7AA0BF6} - System32\Tasks\chrome5_logon => C:\Program Files (x86)\Microsoft Data\InstallAddons.exe
Task: {DA21131E-F504-40BF-8F01-2A2DBC804B8A} - \Microsoft\extsetup -> No File <==== ATTENTION
Task: {E0F51EFD-7808-471B-A0F6-EB02B6BB411C} - \extsetup -> No File <==== ATTENTION
Task: {EE83CE94-5AA3-4453-85F3-D80543DFA059} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {F47E0EC6-3CD5-4493-BB54-5937AFAA0ACA} - \Microsoft\Windows\SafeBrowser -> No File <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
FirewallRules: [{BB6FE26B-D3BA-409C-A90C-662CD183702A}] => (Allow) C:\Program Files\UBar\ubar.exe
FirewallRules: [{D751CAC6-C6A5-4F36-BE4F-A5FDFCEC1C0A}] => (Allow) C:\Users\Ин\AppData\Local\Temp\F0722_s_30803.exe
FirewallRules: [{7A3B21A1-EE77-40E4-B28D-1CCA6C2CD2F7}] => (Allow) C:\Users\Ин\AppData\Local\Temp\F0722_s_30803.exe
FirewallRules: [{4A6C09E0-495F-4242-8484-309B74F520DA}] => (Allow) C:\Users\Ин\AppData\Local\Temp\F0722_s_30803.exe
FirewallRules: [{6C883FF0-F5E3-48DB-96C5-EF5700ACEE73}] => (Allow) C:\Users\Ин\AppData\Local\Temp\F0722_s_30803.exe
FirewallRules: [{EB7C04DB-C51D-4843-B9CB-E089C6832F29}] => (Allow) C:\Users\Ин\AppData\Local\Temp\BaiduAn.Setup.2.3.0.2225.j_1100035511.exe
FirewallRules: [{A3E0BE84-DB62-4AD5-A8AB-68B4B3ACA624}] => (Allow) C:\Users\Ин\AppData\Local\Temp\BaiduAn.Setup.2.3.0.2225.j_1100035511.exe
FirewallRules: [{0E52F4D5-09BB-4CAE-966C-908CDAA94190}] => (Allow) C:\Users\Ин\AppData\Local\Temp\BaiduAn.Setup.2.3.0.2225.j_1100035511.exe
FirewallRules: [{38D3B4F2-B2F2-4BA6-914A-ADD335814F08}] => (Allow) C:\Users\Ин\AppData\Local\Temp\BaiduAn.Setup.2.3.0.2225.j_1100035511.exe
FirewallRules: [{683F8DDF-0C24-4C54-9B4D-6FC03CE31A3F}] => (Allow) C:\program files (x86)\common files\baidu\bddownload\107\bddownloader.exe



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты

Пишите запрос  http://forum.kasperskyclub.ru/index.php?showtopic=48525

 

Для повышения уровня компьютерной грамотности ознакомьтесь с этим:
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Averfak
      От Averfak
      подхватил расширения называются mvpn и adblocker при удалении и перезагрузке они восстанавливаются, помогите а то в этом плане вообще ничего не знаю!😢
    • Magerattor J.
      От Magerattor J.
      Сегодня после загрузки программы сама открывалась командная строка и пк стал сильно зависать. В диспетчере задач, при открытии, на секунду видна загрузка процессора под 80% и выше, после чего она спадает, но если долго бездействовать, то нагрузка вновь возрастет до 50+ процентов. С помощью доктора веба проверял, ничего не нашел, однако в самом диспетчере подозрительно много одних и тех же служб svhost waxp и др. Уже пытался откатить до последнего сохраненного образа, что не дало результата, ибо майнер снова открыл командную строку. Пытался переустановить виндовс, с последующими мучениями на драйвера с интернетом(судя по тому, что загрузка цп все еще идет при открытии диспетчера под 80%, то это не помогло). в безопасном режиме при открытии диспетчера никакой нагрузки в 80% не наблюдается.  

      CollectionLog-2024.09.29-21.18.zip
    • Trasker368
      От Trasker368
      Сразу же закрывается папка "Пользователь", помимо этого моментально закрывается браузер при попытке скачивания или даже поиска антивирусных утилит, не знаю что делать.
       
    • VladimirPA
      От VladimirPA
      Здравствуйте! Обнаружил у себя вирус, нагружающий процессор до 30% - 40% и сеть, при том делающий это через процесс проводника. Просканировал через утилиту, 3 вируса удалились, а "NET.MALWARE.URL" нет. Прошу помочь с этим. Частично проблему решить получилось, обрубив вирусу интернет через программу NetLimiter. Нагрузка ушла, но жить с такой падлой под боком все равно не хочется. Вот логи:
       
      All Logs.zip
    • asuples
      От asuples
      Все, кроме системы зашифровано. К названиям файлов добавлен [PayDecryption@gmail.com][249AB82E].pay  На сайтах не нашел дешифровщика на мой случай. Никто не сталкивался с такой гадостью?
×
×
  • Создать...