Перейти к содержанию

Троян зашифровал файлы

Valenok
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\program files\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\Users\val\AppData\Local\Temp\FlylinkDC_Update\8814_1', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFileMask('c:\program files\kinoroom browser', '*', true);
 DeleteDirectory('c:\program files\kinoroom browser');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты
Valenok

Valenok

Опубликовано
  • Автор
Опубликовано

KLAN-5347812174

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

krbrowser.exe,
avcodec-52.dll,
avutil-50.dll

Вредоносный код в файлах не обнаружен.

avformat-52.dll,
en-US.dll

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

ClearLNK-17.11.2016_00-11.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Вас просили

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

 

+ расшифрованные файлы

Расшифрованные файлы.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Попробуйте отсюда.

 

Далее:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CHR Extension: (News Tab) - C:\Users\val\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaebjepcfidgkojljbgoilgkgklehldj [2016-07-06]
OPR Extension: (News Tab) - C:\Users\val\AppData\Roaming\Opera Software\Opera Stable\Extensions\aaebjepcfidgkojljbgoilgkgklehldj [2016-07-06]
OPR Extension: (Google Sheets) - C:\Users\val\AppData\Roaming\Opera Software\Opera Stable\Extensions\bapebekcapehfapcilombbgepgedmnmn [2016-07-06]
OPR Extension: (Smart Browser™) - C:\Users\val\AppData\Roaming\Opera Software\Opera Stable\Extensions\cfmnkhhioonhiehehedmnjibmampjiab [2016-09-25]
OPR Extension: (Google Docs) - C:\Users\val\AppData\Roaming\Opera Software\Opera Stable\Extensions\hcmdpeobfoppdkhcneogcflfmfceenlf [2016-07-06]
OPR Extension: (Mego Time) - C:\Users\val\AppData\Roaming\Opera Software\Opera Stable\Extensions\icejakkhehfppngiieninffokmlkhpib [2016-04-23]
OPR Extension: (CurrentlyLove) - C:\Users\val\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck [2016-11-14]
OPR Extension: (Smart Browser™) - C:\Users\val\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-10-05]
OPR Extension: (Smart Browser™) - C:\Users\val\AppData\Roaming\Opera Software\Opera Stable\Extensions\ldgfbffkinooeloadekpmfoklnobpien [2016-01-26]
OPR Extension: (Smart Browser™) - C:\Users\val\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj [2016-11-06]
OPR Extension: (Smart Browser™) - C:\Users\val\AppData\Roaming\Opera Software\Opera Stable\Extensions\npknnddabjhdijgmmbocdicnknegobkm [2016-07-20]
OPR Extension: (Smart Browser™) - C:\Users\val\AppData\Roaming\Opera Software\Opera Stable\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-10-27]
C:\Users\val\AppData\Local\Temp\4ydoJO0n0hWl.exe
C:\Users\val\AppData\Local\Temp\5m4xv8mamW1n.exe
C:\Users\val\AppData\Local\Temp\AcDeltree.exe
C:\Users\val\AppData\Local\Temp\BrKSFF5fEGY6.exe
C:\Users\val\AppData\Local\Temp\coi1.exe
C:\Users\val\AppData\Local\Temp\DivXSetup.exe
C:\Users\val\AppData\Local\Temp\downloader.exe
C:\Users\val\AppData\Local\Temp\firefoxjre_exe.exe
C:\Users\val\AppData\Local\Temp\ikCNyJkGROz4.exe
C:\Users\val\AppData\Local\Temp\libeay32.dll
C:\Users\val\AppData\Local\Temp\MSN294D.exe
C:\Users\val\AppData\Local\Temp\msvcr120.dll
C:\Users\val\AppData\Local\Temp\nse90DF.exe
C:\Users\val\AppData\Local\Temp\nsj9591.exe
C:\Users\val\AppData\Local\Temp\nst8B71.exe
C:\Users\val\AppData\Local\Temp\nstDB99.exe
C:\Users\val\AppData\Local\Temp\nstE116.exe
C:\Users\val\AppData\Local\Temp\nstE77D.exe
C:\Users\val\AppData\Local\Temp\nswE29C.exe
C:\Users\val\AppData\Local\Temp\SearchWithGoogleUpdate.exe
C:\Users\val\AppData\Local\Temp\SecurityScan_Release.exe
C:\Users\val\AppData\Local\Temp\sender.exe
C:\Users\val\AppData\Local\Temp\Setup-punto.exe
C:\Users\val\AppData\Local\Temp\sqlite3.dll
C:\Users\val\AppData\Local\Temp\Uninstall.exe
C:\Users\val\AppData\Local\Temp\utt28E0.tmp.exe
C:\Users\val\AppData\Local\Temp\uttAE6A.tmp.exe
C:\Users\val\AppData\Local\Temp\wH38wbDrWRzZ.exe
C:\Users\val\AppData\Local\Temp\yupdate-exec-punto.exe
C:\Users\val\AppData\Local\Temp\yupdate-executor-punto.exe
C:\Users\val\AppData\Local\Temp\{AB425AA0-25E1-4697-B10B-9B7402750D6F}-GoogleUpdateSetup.exe
Task: {99C6A4EB-618F-43CB-BB26-B739D4DD33AF} - \Microsoft\Windows\A1D12588D-1D8F-4D5A-9485-7D2338341AD4 -> No File <==== ATTENTION
Task: {B58A3852-83A2-4B64-898D-B70CAF179A7A} - \Microsoft\Windows\extsetupSB -> No File <==== ATTENTION
Task: {E2F79507-A197-443F-A023-04E10089D7E8} - \Microsoft\extsetupSB -> No File <==== ATTENTION
HKU\S-1-5-21-1638550504-3255485808-3335100494-1000\Software\Classes\.scr: scrfile =>  <===== ATTENTION
FirewallRules: [{CE145493-42E5-48B9-B991-5F8ED221349C}] => (Allow) C:\Users\val\AppData\Local\Amigo\Application\amigo.exe
FirewallRules: [{BBA83A4A-49FC-49AB-B160-3B323087945E}] => (Allow) C:\Program Files\UBar\ubar.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • MirTa
      Троян ISTANBULTEAM зашифровал файлы
      Автор MirTa
      Здравствуйте, вчера в два этапа  10.00 и  20.00 оказались зашифрованы почти все файлы, в том числе и архиватор, поэтому не могу сложить в архив и не могу их прикрепить, подскажите, пожалуйста, как их сюда добавить
      Important_Notice.txt Addition.txt FRST.txt
    • Денис А
      Все файлы зашифрованы шифровальщиком
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
    • astraoren
      Зашифровались файлы, расширение .enc
      Автор astraoren
      Здравствуйте, шифровальщик зашифровал файлы. Прошу помощи в расшифровке
      encoder files.zip
    • Екатерина12165
      Троян не удалился
      Автор Екатерина12165
      Всем привет. У меня винда 11.
      Недавно появились такие файлы и папки с иконкой моего антивирусника, но со странными названия, внутри папок был текст на латинице. Мой антивирусник "pro 32 ultimate security" не нашел вирусов. Прогнала ноут через DR.WEB он нашел вирус, после удаления и перезарузки ноута, файлы остались. Скачала касперского, тот нашел троян, также три раза прогнала через проверку, в первый раз якобы удалился троян и вирусы, а в след. разы пыталась таким способом удалить файлы, которые остались, также 0 результата, хотя вирусы вроде бы удалились, но что меня пугает это остаточные файлы и папки, они обновляются ежедневно. 
      Ранее скачивала через проверенный торрент игрушки... Мб из-за этого словила вирусы.
      Также Ярлыки и игрушки купленные в стиме открываются раз через раз, + иногда рабочий стол не откликается, просто не кликается.
      По поводу ярлыков и приложений, через диспетчер задач снимала их, после пыталась открыть, но без результата, помогала только перезагрузка на +- 2-3 раз. 
      Помогите, пожалуйста, убрать всё таки вирусы или трояны.  



    • Lingon
      Файлы зашифрованы с расширением .ant_dec
      Автор Lingon
      files.rarAddition.txt
      FRST.txt
×
×
  • Создать...