Ольга Лазарева Опубликовано 5 июля, 2016 Опубликовано 5 июля, 2016 Помогите пжл!!! Вирус зашифровал файлы. Сначала на карте памяти от фотоаппарата потом на всем компе. Хотя и удаляла его с помощью антивируса. Как понять что вирус точно удален? Проверка антивирусником говорит, что все ок. Есть файлы зашифрованные а есть нет.
thyrex Опубликовано 5 июля, 2016 Опубликовано 5 июля, 2016 http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]
Ольга Лазарева Опубликовано 5 июля, 2016 Автор Опубликовано 5 июля, 2016 http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Извините. Была в панике CollectionLog-2016.07.05-23.50.zip
thyrex Опубликовано 5 июля, 2016 Опубликовано 5 июля, 2016 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Olchik\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe',''); QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe',''); QuarantineFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe',''); QuarantineFile('C:\Users\Olchik\AppData\Local\SystemDir\nethost.exe',''); QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe',''); QuarantineFile('C:\Program Files\Microsoft Data\install_addons.exe',''); DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}'); QuarantineFile('C:\Program Files\SupTab\SupTab.dll',''); QuarantineFile('C:\Users\Olchik\AppData\Local\Microsoft\Extensions\extsetup.exe',''); QuarantineFile('C:\Program Files\Common Files\AppDownloads\8C8FEC86-F48D-4557-A32B-47DD31643BB6.exe',''); QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\1F7821C6-29B6-4FC2-83DB-E19D38BF3753\19E67078-B4C5-426F-A707-941BF03A7949.exe',''); QuarantineFile('C:\ProgramData\IePluginServices\PluginService.exe',''); DeleteService('IePluginServices'); QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe',''); QuarantineFile('C:\ProgramData\Schedule\timetasks.exe',''); DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32'); DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule'); DeleteFile('C:\ProgramData\IePluginServices\PluginService.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Optimizer Pro'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MailRuUpdater'); DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\1F7821C6-29B6-4FC2-83DB-E19D38BF3753\19E67078-B4C5-426F-A707-941BF03A7949.exe','32'); DeleteFile('C:\Program Files\Common Files\AppDownloads\8C8FEC86-F48D-4557-A32B-47DD31643BB6.exe','32'); DeleteFile('C:\Users\Olchik\AppData\Local\Microsoft\Extensions\extsetup.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','1F7821C6-29B6-4FC2-83DB-E19D38BF3753'); DeleteFile('C:\Program Files\SupTab\SupTab.dll','32'); DeleteFile('C:\Program Files\Microsoft Data\install_addons.exe','32'); DeleteFile('C:\Windows\system32\Tasks\chrome5','32'); DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','32'); DeleteFile('C:\Windows\system32\Tasks\extsetup','32'); DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','32'); DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32'); DeleteFile('C:\Windows\system32\Tasks\MailRuUpdater','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\A8C8FEC86-F48D-4557-A32B-47DD31643BB6','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\A1F7821C6-29B6-4FC2-83DB-E19D38BF3753','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\8C8FEC86-F48D-4557-A32B-47DD31643BB6','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\1F7821C6-29B6-4FC2-83DB-E19D38BF3753','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\KRBUUS\KRB Updater Utility Service','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','32'); DeleteFile('C:\Windows\system32\Tasks\nethost task','32'); DeleteFile('C:\Users\Olchik\AppData\Local\SystemDir\nethost.exe','32'); DeleteFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe','32'); DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32'); DeleteFile('C:\Windows\system32\Tasks\SafeBrowser','32'); DeleteFile('C:\Windows\system32\Tasks\ReimageUpdater','32'); DeleteFile('C:\Windows\system32\Tasks\Reimage Reminder','32'); DeleteFile('C:\Users\Olchik\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
Ольга Лазарева Опубликовано 5 июля, 2016 Автор Опубликовано 5 июля, 2016 (изменено) KLAN-4627583522 Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.вoйти в интeрнeт.exe - not-a-virus:Downloader.Win32.LMN.afwЭто - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.ReimageReminder.exeПолучен неизвестный файл, он будет передан в Вирусную Лабораторию.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru" CollectionLog-2016.07.06-01.43.zip Изменено 5 июля, 2016 пользователем Ольга Лазарева
thyrex Опубликовано 5 июля, 2016 Опубликовано 5 июля, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении. 6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Ольга Лазарева Опубликовано 5 июля, 2016 Автор Опубликовано 5 июля, 2016 Спасибо за оперативный ответ Desktop.rar
thyrex Опубликовано 5 июля, 2016 Опубликовано 5 июля, 2016 Что-то я не вижу в логах ни одного шифрованного Cerber'ом файла.Заархивируйте с паролем virus файлы C:\Users\Olchik\AppData\Local\Temp\ea1f-9e33-918c-a782.exeC:\Users\Olchik\AppData\Local\Temp\film.exe Выложите полученный архив на Яндекс диск и пришлите ссылку мне в личные сообщения1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: HKLM\...\Run: [] => [X] CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR HKU\S-1-5-21-4273447121-2994177606-3282118587-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.sweet-page.com/?type=hp&ts=1407500224&from=cor&uid=3219913727_1787_08262387 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1407500224&from=cor&uid=3219913727_1787_08262387&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1407500224&from=cor&uid=3219913727_1787_08262387 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1407500224&from=cor&uid=3219913727_1787_08262387&q={searchTerms} HKU\S-1-5-21-4273447121-2994177606-3282118587-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1407500224&from=cor&uid=3219913727_1787_08262387 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1407500224&from=cor&uid=3219913727_1787_08262387&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1407500224&from=cor&uid=3219913727_1787_08262387&q={searchTerms} SearchScopes: HKU\S-1-5-21-4273447121-2994177606-3282118587-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1407500224&from=cor&uid=3219913727_1787_08262387&q={searchTerms} SearchScopes: HKU\S-1-5-21-4273447121-2994177606-3282118587-1001 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms} OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Olchik\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhnpmdabjgpimmnbmhefncbghknfegog [2015-11-15] OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Olchik\AppData\Roaming\Opera Software\Opera Stable\Extensions\denjcdefjebbmlihdoojnebochnkgcin [2015-11-15] OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Olchik\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2015-11-15] OPR Extension: (Smart Browser™) - C:\Users\Olchik\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcahibnffhnnjcedflmchmokndkjnhpg [2015-11-15] OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Olchik\AppData\Roaming\Opera Software\Opera Stable\Extensions\mclkkofklkfljcocdinagocijmpgbhab [2015-11-15] OPR Extension: (Smart Browser) - C:\Users\Olchik\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlipoenfbbikpbjkfpfillcgkoblgpmj [2015-11-15] S4 ca82e1a5; "C:\Windows\system32\rundll32.exe" "c:\Program Files\Optimizer Pro\OptProCrash.dll",SVC 2016-07-05 19:58 - 2016-07-05 20:00 - 00000000 ____D C:\rei 2016-07-05 19:58 - 2016-07-05 19:59 - 00000150 _____ C:\Windows\Reimage.ini 2016-07-05 19:58 - 2016-07-05 19:59 - 00000000 ____D C:\ProgramData\Reimage Protector 2016-07-05 19:58 - 2016-07-05 19:58 - 00002022 _____ C:\Users\Public\Desktop\PC Scan & Repair by Reimage.lnk 2016-07-05 19:58 - 2016-07-05 19:58 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair 2016-07-05 19:58 - 2016-07-05 19:58 - 00000000 ____D C:\Program Files\Reimage 2016-07-05 20:18 - 2015-05-31 17:14 - 00000000 ____D C:\ProgramData\KRB Updater Utility Task: {298D4EDD-700D-4C18-9506-D87EC57A0B59} - \MailRuUpdater -> No File <==== ATTENTION Task: {40C441C9-8CE8-4979-A784-4A7FFFBB0FD2} - \chrome5_logon -> No File <==== ATTENTION Task: {47B16313-5A2E-46B3-8458-F25D56A9DA01} - \nethost task -> No File <==== ATTENTION Task: {49CEEF28-9134-42A3-85B4-1B25989C6ED3} - \SafeBrowser -> No File <==== ATTENTION Task: {4CC22A3B-72A3-4C81-97B9-3EB5FA0E4E93} - \Microsoft\Windows\SafeBrowser -> No File <==== ATTENTION Task: {5F20E0C9-B401-491E-9F09-46517926E2EA} - \extsetup -> No File <==== ATTENTION Task: {612B813C-0ED9-48D7-8435-E75A94AE1A2A} - \KRB Updater Utility -> No File <==== ATTENTION Task: {623AE489-1473-4101-ACDC-3A2EEFABD153} - \Microsoft\Windows\8C8FEC86-F48D-4557-A32B-47DD31643BB6 -> No File <==== ATTENTION Task: {65BFA48C-7BE8-4E72-9459-A2A933495592} - \chrome5 -> No File <==== ATTENTION Task: {9D728D04-7029-4F7C-B485-7CD4687471EE} - \Microsoft\Windows\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION Task: {B7B1D654-4114-4C81-AD64-693B29A81D71} - \Microsoft\Windows\1F7821C6-29B6-4FC2-83DB-E19D38BF3753 -> No File <==== ATTENTION Task: {C7F61C13-F6DB-4AD2-B8E4-6478F6B1A2A4} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION Task: {D05B38BE-F4FE-4B70-BC35-43BA85A1215C} - \Microsoft\Windows\A1F7821C6-29B6-4FC2-83DB-E19D38BF3753 -> No File <==== ATTENTION Task: {E4FA2694-5936-493A-8A9D-60D4DB53CC2A} - \ReimageUpdater -> No File <==== ATTENTION Task: {F68E6486-701F-419E-9338-3406609ACEE1} - \Reimage Reminder -> No File <==== ATTENTION Task: {F784A757-98B1-43C7-B81D-05FF48EB7CD6} - \Microsoft\Windows\A8C8FEC86-F48D-4557-A32B-47DD31643BB6 -> No File <==== ATTENTION C:\Users\Olchik\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool4. Укажите Тип файла – Все файлы (*.*)5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера.
Ольга Лазарева Опубликовано 5 июля, 2016 Автор Опубликовано 5 июля, 2016 Спасибо Скажите надежды на расшифровку нет? Fixlog.txt
thyrex Опубликовано 6 июля, 2016 Опубликовано 6 июля, 2016 Что-то я не вижу в логах ни одного шифрованного Cerber'ом файла. Это я для себя написал? Более того, нет даже файлов с сообщениями для связи со злодеями.
Ольга Лазарева Опубликовано 6 июля, 2016 Автор Опубликовано 6 июля, 2016 Что-то я не вижу в логах ни одного шифрованного Cerber'ом файла. Это я для себя написал? Более того, нет даже файлов с сообщениями для связи со злодеями. Извините. Сам файл-письмо в формате HTML в архиве приложила два файла. один в доке другой txt. есть так же зашифрованый файл и его копия нормальная(только много весит это фотография) Скажите если изначально шифрование началось с карты памяти фотоаппарата и далее вирус распространился по всему компу. 1. может ли вирус быть в фотоаппарате - карту повторно туда вставляла. 2.можно ли как то восстановить фотографии на карте? HOW TO DECRYPT FILES.html shifr.rar
thyrex Опубликовано 6 июля, 2016 Опубликовано 6 июля, 2016 Хм, это подделка под Cerber. Скорее всего Xorist. Сейчас пойду изучать присланные Вами вчера файлы. Но шанс мал, что это они. Что запустили перед появлением шифрования?
Ольга Лазарева Опубликовано 6 июля, 2016 Автор Опубликовано 6 июля, 2016 Хм, это подделка под Cerber. Скорее всего Xorist. Сейчас пойду изучать присланные Вами вчера файлы. Но шанс мал, что это они. Что запустили перед появлением шифрования? Вы знаете я фотографией занимаюсь. И вот пытаюсь вспомнить и ничего не могу припомнить(почту я не открываю аля вредоносные файлы). Единственный момент у меня недавно полетел монитор(просто не включался) и я установила монитор мужа. И стала искать программу для настройки монитора. Скачала одну(уже не помню название) установила но она оказалась бестолковой. Я думаю это был вирус. Так как шифровка файлов началась с карты памяти. Так же устанавливала на компьютер яндексДиск.
thyrex Опубликовано 6 июля, 2016 Опубликовано 6 июля, 2016 есть так же зашифрованый файл и его копия нормальнаявыложите в архиве на Яндекс диск и пришлите мне ссылку
Ольга Лазарева Опубликовано 6 июля, 2016 Автор Опубликовано 6 июля, 2016 Файлы скинула. Они большого размера -то что в быстром доступе. Могу найти поменьше если это принципиально - но нужно время. У меня кстати Касперский опять вирусу Троян обнаружил - сегодня. Хотя думала, что все удалено. Спасибо за то, что вы делаете
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти