Борис Немытых Опубликовано 14 августа, 2017 Share Опубликовано 14 августа, 2017 Вaши файлы были зашифрoвaны. Чтобы pасшифpовать иx, Baм нeoбxoдuмо omправumь кoд: 3CC205228EF461A99E96|0 на элеkmронный адpec VladimirScherbinin1991@gmail.com . Далеe вы пoлyчuте всe неoбxoдuмыe uнсmpуkцuи. Пonыmkи раcшифрoвamь caмoсmoятельно не пpuвeдyт нu k чемy, kpомe безвозвpaтной nоmеpи информацuu. Ecли вы вcё же xomuте nоnытаmьcя, то предвapuтельно сдeлайme резервные konиu файлов, uначе в cлучае ux изменeнuя pаcшuфрoвkа станem нeвoзможнoй нu при kakих условuяx. Если вы не noлучилu оmвета nо вышeyказaнному aдресу в mеченue 48 чаcoв (и тoлькo в эmом слyчae!), вoсnользуйтеcь формoй oбрaтной связu. Эmo можно cдeлать двyмя cпосoбами: 1) Cкaчaйте u уcmaновume Tor Browser пo cсылke: https://www.torproject.org/download/download-easy.html.en В адpeснoй cmрoке Tor Browser-а введume aдреc: http://cryptsen7fo43rr6.onion/ и нaжмuте Enter. Зarpузится страницa с фoрмой oбpаmной cвязu. 2) В любoм браузeре пepeйдитe nо одномy из адpeсов: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Могу прислать зашифрованный файл и его оригинал до зашифровки, но размер файлов по 30 мбайт каждый. README1-10.rar CollectionLog-2017.08.14-09.31.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 14 августа, 2017 Share Опубликовано 14 августа, 2017 Здравствуйте!- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gytdhghjbr', 'command'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в АВЗ:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.HitmanPro 3.7 - деинсталируйте. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. PS. С расшировкой помочь не сможем, только дочистить остатки вирусов. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Борис Немытых Опубликовано 14 августа, 2017 Автор Share Опубликовано 14 августа, 2017 ClearLNK результат KLAN-6656018239 Благодарим за обращение в Антивирусную ЛабораториюПрисланные вами файлы были проверены в автоматическом режиме.В антивирусных базах информация по присланным вами файлам отсутствует:mail_ru_attachments.htmФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQ ClearLNK-14.08.2017_10-26.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 14 августа, 2017 Share Опубликовано 14 августа, 2017 жду остальное. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Борис Немытых Опубликовано 14 августа, 2017 Автор Share Опубликовано 14 августа, 2017 повторный лог по рекомендации CollectionLog-2017.08.14-10.37.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 14 августа, 2017 Share Опубликовано 14 августа, 2017 "Пофиксите" в HijackThis: R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - (no name) - (no URL) O4 - MSConfig\startupreg: [app-helper1] C:\Program Files\Application Assistance\app-helper1.exe (file missing) (HKLM) (2015/08/31) O4 - MSConfig\startupreg: [app-helper] C:\Program Files\Application Assistance\app-helper.exe (file missing) (HKLM) (2015/08/31) O4 - MSConfig\startupreg: [gytdhghjbr] (no file) (HKCU) (2016/05/18) O22 - Task (Ready): Uninstaller_SkipUac_ТСЖ_Квадрат - C:\Program Files\IObit\IObit Uninstaller\IObitUninstaler.exe /UninstallExplorer (file missing) Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас. Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора". Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run) [*]Введите sfc /scannow и нажмите Энтер. [*]Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка. [*]После того как закончится проверка в командной строке введите команду: findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt[*]После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению. + Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ClearQuarantine; QuarantineFile('C:\Users\ТСЖ Квадрат\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FinePrint\Просмотреть файлы FinePrint.lnk', ''); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Борис Немытых Опубликовано 17 августа, 2017 Автор Share Опубликовано 17 августа, 2017 (изменено) Следующие действия sfcdetails.txt Изменено 17 августа, 2017 пользователем regist удалил карантин Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 17 августа, 2017 Share Опубликовано 17 августа, 2017 Карантин прикреплять к сообщению запрещено, надо было послать на почту как вас просили, но в данном случае он у вас был пустой. Можете заархивировать папку C:\Users\ТСЖ Квадрат\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FinePrint\ и прикрепить этот архив к сообщению? sfcdetails.txt как и предполагал была куча повреждённых системных файлов, но судя по логу все успешно восстановлены. + Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Отметьте галочкой также "Shortcut.txt".Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Борис Немытых Опубликовано 18 августа, 2017 Автор Share Опубликовано 18 августа, 2017 Что дальше? Addition.txt FRST.txt Shortcut.txt FinePrint.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 18 августа, 2017 Share Опубликовано 18 августа, 2017 1) hitmanpro - удалите. 2) Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: HKLM\...\Run: [] => [X] HKU\S-1-5-21-3496114336-2745801413-1540753811-1002\...\MountPoints2: {004d4a1b-ac8c-11e2-905f-20cf30ee9501} - F:\Install.exe HKU\S-1-5-21-3496114336-2745801413-1540753811-1002\...\MountPoints2: {53a0774e-795a-11e4-a560-806e6f6e6963} - E:\start.exe HKU\S-1-5-21-3496114336-2745801413-1540753811-1002\...\MountPoints2: {7b267aed-f3ee-11e0-aaf8-20cf30ee9501} - G:\DriverPackSolution.exe HKU\S-1-5-21-3496114336-2745801413-1540753811-1002\...\MountPoints2: {d2345f4f-dc4f-11e1-9692-806e6f6e6963} - H:\Install.exe HKU\S-1-5-21-3496114336-2745801413-1540753811-1002\...\MountPoints2: {d2345f63-dc4f-11e1-9692-20cf30ee9501} - H:\Install.exe HKU\S-1-5-21-3496114336-2745801413-1540753811-1002\...\MountPoints2: {f5865195-68f6-11e2-9011-20cf30ee9501} - K:\SISetup.exe GroupPolicy: Restriction - Chrome <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION URLSearchHook: [S-1-5-21-3496114336-2745801413-1540753811-1002] ATTENTION => Default URLSearchHook is missing 2017-08-11 15:27 - 2016-11-15 14:06 - 000000000 ____D C:\ProgramData\ProductData Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически.3) В свойствах ярлыка C:\Users\ТСЖ Квадрат\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FinePrint\Просмотреть файлы FinePrint.lnk поменяйте вручную в поле Объект на C:\Users\ТСЖ Квадрат\Documents\FinePrint Files Ссылка на комментарий Поделиться на другие сайты More sharing options...
Борис Немытых Опубликовано 23 августа, 2017 Автор Share Опубликовано 23 августа, 2017 Что дальше Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 23 августа, 2017 Share Опубликовано 23 августа, 2017 Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти