Зашифровались следующие файлы на компьютере .jpg, mp3, docx, rar, zip

[Тимур Глухарев]

Хотел скачать бот с zismo, получил троян, о чем не подозревал. все файлы зашифровались на компьютере. Помогите пожалуйста.

Прикрепляю автологер и жду дальнейших указаний. Спасибо!

CollectionLog-2016.06.20-14.51.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

AnySend

Reimage Repair

SVH

TNT2-11443 Toolbar

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\programdata\tmp0x0x', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\spacesondpro_v53.11846', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\spacesoundpro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Winda\AppData\Local\03000200-1452440549-0500-0006-000700080009\cnso498.tmp', '');
 QuarantineFile('C:\Program Files (x86)\SpaceSondPro_v53.11846\ioproduct_service.bat', '');
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');
 QuarantineFile('C:\Users\Winda\AppData\Local\Temp\Temp1_hda-32bit_Win7_Win8_Win81_R275.zip\0001-32bit_Win7_Win8_Win81_R275.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{CDFF2131-3AFF-47E6-8958-E861D163D751}" /F', 0, 15000, true);
 DeleteFile('C:\Users\Winda\AppData\Local\03000200-1452440549-0500-0006-000700080009\cnso498.tmp', '32');
 DeleteFile('C:\Program Files (x86)\SpaceSondPro_v53.11846\ioproduct_service.bat', '32');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32');
 DeleteFileMask('c:\programdata\tmp0x0x', '*', true);
 DeleteFileMask('c:\program files (x86)\spacesondpro_v53.11846', '*', true);
 DeleteFileMask('c:\program files\spacesoundpro', '*', true);
 DeleteDirectory('c:\programdata\tmp0x0x');
 DeleteDirectory('c:\program files (x86)\spacesondpro_v53.11846');
 DeleteDirectory('c:\program files\spacesoundpro');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IOPROTECT','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpaceSoundPro','command');
 DeleteService('relibily');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено 20 июня, 2016 пользователем Sandor