Djamper 0 Опубликовано 2 апреля, 2018 Share Опубликовано 2 апреля, 2018 Доброе время суток! У меня произошло шифрование моих файлов в результате действия вируса,но это произошло очень давно(в 2015). С начала я не обратил на это внимания, а потом когда я захотел посмотреть фотографии они были уже в формате xtbl. CollectionLog-2018.04.02-13.11.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 2 апреля, 2018 Share Опубликовано 2 апреля, 2018 Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\2B53E6BF-3287-4AA8-A74A-0C1F0BE8B599\08EAC70B-2BFC-4FA6-A335-E026B0B3387B.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Star Conflict\ Star Соnfliсt Launсhеr.lnk', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld оf Tаnks.lnk', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World Of Warships\Wоrld Оf Warships РublicTest.lnk', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Star Conflict.lnk', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\War Thunder.lnk', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Новости.lnk', ''); QuarantineFile('C:\Users\TOM\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', ''); QuarantineFile('C:\Users\TOM\AppData\Roaming\Browsers\exe.rehcnual.bat', ''); QuarantineFile('C:\Users\TOM\AppData\Roaming\Browsers\exe.rehcnualswow.bat', ''); QuarantineFile('C:\Users\TOM\AppData\Roaming\Browsers\exe.rehcnualtow.bat', ''); QuarantineFile('C:\Users\TOM\AppData\Roaming\Browsers\exe.resworb.bat', ''); QuarantineFile('C:\Users\TOM\AppData\Roaming\ILMHVSL.exe', ''); QuarantineFile('C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndex.lnk', ''); QuarantineFile('C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndеx.lnk', ''); QuarantineFile('C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех (2).lnk', ''); QuarantineFile('C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndеx.lnk', ''); QuarantineFile('C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndех.lnk', ''); QuarantineFile('C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Star Conflict\ Star Сonfliсt Lаunсhеr.lnk', ''); QuarantineFile('C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld оf Tаnks.lnk', ''); QuarantineFile('C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndex.lnk', ''); QuarantineFile('C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndеx.lnk', ''); QuarantineFile('C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Обнови Софт', ''); QuarantineFile('C:\Users\TOM\Favorites\Links\Интернет.url', ''); QuarantineFile('C:\Windows\core.exe', ''); QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); QuarantineFileF('c:\programdata\microsoft\macromed\flash player\2b53e6bf-3287-4aa8-a74a-0c1f0be8b599', '*', true, '', 0 , 0); DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe', '32'); DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\2B53E6BF-3287-4AA8-A74A-0C1F0BE8B599\08EAC70B-2BFC-4FA6-A335-E026B0B3387B.exe', '32'); DeleteFile('C:\Users\TOM\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico'); DeleteFile('C:\Users\TOM\AppData\Roaming\Browsers\exe.rehcnual.bat', ''); DeleteFile('C:\Users\TOM\AppData\Roaming\Browsers\exe.rehcnualswow.bat', ''); DeleteFile('C:\Users\TOM\AppData\Roaming\Browsers\exe.rehcnualtow.bat', ''); DeleteFile('C:\Users\TOM\AppData\Roaming\Browsers\exe.resworb.bat', ''); DeleteFile('C:\Users\TOM\AppData\Roaming\Browsers\exe.resworb.bat', '32'); DeleteFile('C:\Users\TOM\AppData\Roaming\ILMHVSL.exe', '32'); DeleteFile('C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Обнови Софт'); DeleteFile('C:\Users\TOM\Favorites\Links\Интернет.url'); DeleteFile('C:\Windows\core.exe', '32'); DeleteFile('C:\Windows\Tasks\ILMHVSL.job', '64'); DeleteFile('ILMHVSL.job', '64'); ExecuteFile('schtasks.exe', '/delete /TN "KRB Updater Utility" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\2B53E6BF-3287-4AA8-A74A-0C1F0BE8B599" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A2B53E6BF-3287-4AA8-A74A-0C1F0BE8B599" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true); DeleteFileMask('c:\programdata\krb updater utility', '*', true); DeleteDirectory('c:\programdata\krb updater utility'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '2B53E6BF-3287-4AA8-A74A-0C1F0BE8B599'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите: C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndеx.lnk C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndex.lnk C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndех.lnk C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndex.lnk C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех (2).lnk C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndеx.lnk C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndеx.lnk C:\Users\TOM\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\225bb61db2f318c1\Google Chrome.lnk C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gоogle Сhrоme.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Star Conflict\ Stаr Сonfliсt Lаuncher.lnk C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WаrThunder.lnk C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld of Tаnks.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld оf Таnks.lnk C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Star Conflict\ Star Сonfliсt Lаunсhеr.lnk C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld оf Tаnks.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld оf Tаnks.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Star Conflict\ Star Соnfliсt Launсhеr.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World Of Warships\Wоrld Оf Warships РublicTest.lnk C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Star Conflict.lnk C:\ProgramData\Microsoft\Windows\Start Menu\War Thunder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Новости.lnk Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Цитата Ссылка на сообщение Поделиться на другие сайты
Djamper 0 Опубликовано 2 апреля, 2018 Автор Share Опубликовано 2 апреля, 2018 KLAN-7856090928 Благодарим за обращение в Антивирусную ЛабораториюПрисланные вами файлы были проверены в автоматическом режиме.В антивирусных базах информация по присланным вами файлам отсутствует:Star Соnfliсt Launсhеr.lnkWоrld оf Tаnks.lnkWоrld Оf Warships РublicTest.lnkStar Conflict.lnkWar Thunder.lnkНовости.lnkВoйти в Интeрнeт.lnkStar Сonfliсt Lаunсhеr.lnkWоrld оf Tаnks_0.lnkИнтернет.urlcore.exeВ следующих файлах обнаружен вредоносный код:Yаndex.lnk - HEUR:Trojan.WinLNK.StartPage.gencYаndеx.lnk - HEUR:Trojan.WinLNK.StartPage.gencYаndех (2).lnk - HEUR:Trojan.WinLNK.StartPage.gencYаndеx_0.lnk - HEUR:Trojan.WinLNK.StartPage.gencYаndех.lnk - HEUR:Trojan.WinLNK.StartPage.gencYаndex_0.lnk - HEUR:Trojan.WinLNK.StartPage.gencYаndеx_1.lnk - HEUR:Trojan.WinLNK.StartPage.gencФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQ"Ленинградское шоссе 39A/3, Москва, 125212, RussiaТелефон/Факс: + 7 (495) 797 8700http://www.kaspersky.com https://www.securelist.com" Жду ответа Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 2 апреля, 2018 Share Опубликовано 2 апреля, 2018 Жду ответа А я жду Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. + - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите: Цитата Ссылка на сообщение Поделиться на другие сайты
Djamper 0 Опубликовано 2 апреля, 2018 Автор Share Опубликовано 2 апреля, 2018 (изменено) ок вот всё прикрепил Ну ещё что-то надо? Жду ответа ClearLNK-2018.04.02_14.23.59.log CollectionLog-2018.04.02-14.27.zip Изменено 2 апреля, 2018 пользователем Djamper Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 2 апреля, 2018 Share Опубликовано 2 апреля, 2018 Пришлите зашифрованный файл в архиве и файл Readme[1].txt Цитата Ссылка на сообщение Поделиться на другие сайты
Djamper 0 Опубликовано 2 апреля, 2018 Автор Share Опубликовано 2 апреля, 2018 Увы, файла Readme[1].txt у меня нету Epe6wvFgmkiUR+JCdTye7KkYqrTzwzvUT98PVBR25KM=.rar Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 2 апреля, 2018 Share Опубликовано 2 апреля, 2018 Увы, файла Readme[1].txt у меня нету А он нужен для подбора ключа, так что поищите ещё. Но рассшифровкой заниматься будем только после того как закончим с вирусами. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\F0AEBAC3-11B7-4201-9281-0C84E91DD4F3.exe', ''); QuarantineFile('C:\Users\TOM\appdata\roaming\eth\a\engine.exe', ''); QuarantineFileF('C:\Users\TOM\appdata\roaming\eth\a\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\F0AEBAC3-11B7-4201-9281-0C84E91DD4F3.exe', '32'); DeleteFile('C:\Users\TOM\appdata\roaming\eth\a\engine.exe', '32'); DeleteFileMask('C:\Users\TOM\appdata\roaming\eth\a\', '*', true); DeleteDirectory('C:\Users\TOM\appdata\roaming\eth\a\'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'AppDownloads'); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Отметьте галочкой также "Shortcut.txt".Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 2 апреля, 2018 Share Опубликовано 2 апреля, 2018 Увы, файла Readme[1].txt у меня нету Он тоже нужен. В корне каждого диска обычно 10 штук их создается + 10 штук еще должно быть в каждом профиле (учетной записи) рабочего стола. Цитата Ссылка на сообщение Поделиться на другие сайты
Djamper 0 Опубликовано 2 апреля, 2018 Автор Share Опубликовано 2 апреля, 2018 (изменено) Вот KLAN-7857126328 Благодарим за обращение в Антивирусную ЛабораториюПрисланные вами файлы были проверены в автоматическом режиме.В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:engine.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.abzФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQ"Ленинградское шоссе 39A/3, Москва, 125212, RussiaТелефон/Факс: + 7 (495) 797 8700http://www.kaspersky.com https://www.securelist.com" Файла Shortcut.txt в папке не было(нашёл и прикрепил) Addition.txt FRST.txt Shortcut.txt Изменено 2 апреля, 2018 пользователем Djamper Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 2 апреля, 2018 Share Опубликовано 2 апреля, 2018 Файла Shortcut.txt в папке не было если вы галочку не поставили Отметьте галочкой также "Shortcut.txt". то разумеется не будет. Driver Booster и Zona - деинсталируйте. Unity Web Player - если сами не ставили, то тоже деинсталируйте. USB Disk Security - по сути бесполезная программа, поэтому советую тоже удалить. Игровой центр - используется? Лучше хотя бы временно его удалить. Остатки AVG и Avast удалите https://safezone.cc:443/threads/kak-pravilno-udalit-antivirusnye-utility-posle-lechenija.19966/ Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Djamper 0 Опубликовано 2 апреля, 2018 Автор Share Опубликовано 2 апреля, 2018 Вот USB Disk Security удалил Unity Web Player тоже удалил Shortcut.txt AdwCleanerS0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 2 апреля, 2018 Share Опубликовано 2 апреля, 2018 (изменено) Advanced SystemCare V8 - деинталируйте если установлено. Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Изменено 2 апреля, 2018 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
Djamper 0 Опубликовано 2 апреля, 2018 Автор Share Опубликовано 2 апреля, 2018 Я ухожу. Не знаю когда смогу вам написать, но ждите я вернусь.(меня не будет дней5-10) Цитата Ссылка на сообщение Поделиться на другие сайты
Djamper 0 Опубликовано 13 апреля, 2018 Автор Share Опубликовано 13 апреля, 2018 Вот AdwCleanerC0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.