Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте. Помогите разобраться с проблемой.

На одном из рабочих ПК все файлы зашифровались.

Скорее почту с вирусом открыли или флешка с другом на борту была.

 

На логических дисках появились файлы Readme с текстом

 

Bашu файлы былu зaшифpoвaны.
Чmoбы расшифрoвamь их, Baм нeобxoдuмo oтпрaвuть koд:
E9C3CD2652937F05EF06|0
нa электpoнный адpеc pilotpilot088@gmail.com .
Далее вы noлyчитe все необходимые инструkцuи.

 

 

Бесплатными сканерами от Касперского и Дк. Вэба, пользовался. Удалил трояны.

 

Прилагаю логи от AVZ, Farbar Recovery Scan Tool, AutoLogger

 

В архиве аrchive_files_crypted000007.zip

несколько зашифрованых файлов и файлы ридми

 

еще лог от virusinfo  -> ссылка на архив (22мб)

Залил на обменик т.к. огранич. здесь.

Farbar_Recovery_Scan.zip

CollectionLog-2019.02.12-16.07.zip

Archive_files_crypted000007.zip

Опубликовано

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Drivers\csrss.exe', '');
 QuarantineFile('C:\ProgramData\services\csrss.exe', '');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 QuarantineFileF('C:\ProgramData\Drivers\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\Windows\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32');
 DeleteFile('C:\ProgramData\services\csrss.exe', '32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 DeleteFileMask('C:\ProgramData\Drivers\', '*', true);
 DeleteFileMask('C:\ProgramData\Windows\', '*', true);
 DeleteDirectory('C:\ProgramData\Drivers\');
 DeleteDirectory('C:\ProgramData\Windows\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem', 'command', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS', 'command', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Session Manager', 'command', '32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

 


еще лог от virusinfo -> ссылка на архив (22мб) Залил на обменик т.к. огранич. здесь.

 

403

вам запрещено это действие, этот файл приватный и ваш ключ неправильный

Опубликовано

Запустил AVZ - выполнить скрипт, вставил первый скрипт и при запуске ПО пишет что 

Ошибка: Too many actual parameters в позиции 18:16

Опубликовано

Если бы вы прочли инструкцию, то увидели бы, что:

Утилита AVZ находится в папке ..\AutoLogger\AVZ, т.е. там, откуда Вы запускали автоматический сборщик логов

Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {0102f43b-f734-11e1-9b22-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {023295cc-fbf8-11e1-9c0f-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {023295ce-fbf8-11e1-9c0f-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {023295d0-fbf8-11e1-9c0f-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {33305656-f805-11e1-93ba-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {3330565b-f805-11e1-93ba-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {3c881351-19ac-11e2-b434-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {3c881353-19ac-11e2-b434-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {4b2c477e-1295-11e2-aff0-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {528a1514-0084-11e2-8778-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {57150c55-f71b-11e1-92fb-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {57150c6a-f71b-11e1-92fb-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {674d435a-0217-11e2-9d56-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {674d435c-0217-11e2-9d56-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {8c26f293-9b66-11e5-8489-005056c00008} - G:\LaunchU3.exe -a
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {b077fb76-39ef-11e2-8241-005056c00008} - G:\AutoRun.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {b4f40d40-cc18-11e1-bed2-806e6f6e6963} - F:\AUTORUN.exe
    HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {d7044fa6-f016-11e1-89a6-806e6f6e6963} - E:\AUTORUN.exe
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HomePage: Default -> inline.go.mail.ru
    C:\Users\Roman\AppData\Local\Google\Chrome\User Data\Default\Extensions\necfmkplpminfjagblfabggomdpaakan
    C:\Users\Roman\AppData\Local\Google\Chrome\User Data\Default\Extensions\odijcgafkhpobjlnfdgiacpdenpmbgme
    C:\Users\Roman\AppData\Local\Google\Chrome\User Data\Default\Extensions\phkdcinmmljblpnkohlipaiodlonpinf
    C:\Users\Roman\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmpoaahleccaibbhfjfimigepmfmmbbk
    2019-02-11 08:54 - 2019-02-11 12:57 - 000000000 __SHD C:\ProgramData\services
    2019-02-11 08:54 - 2019-02-11 11:36 - 000000000 __SHD C:\ProgramData\Resources
    2019-02-11 08:54 - 2019-02-11 08:54 - 006220854 _____ C:\Users\Roman\AppData\Roaming\2D3F6EFF2D3F6EFF.bmp
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README9.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README8.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README7.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README6.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README5.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README4.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README3.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README2.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README10.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README1.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README9.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README8.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README7.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README6.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README5.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README4.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README3.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README2.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README10.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README1.txt
    2019-02-11 08:54 - 2019-02-11 08:54 - 000000000 __SHD C:\ProgramData\SysWOW64
    2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README9.txt
    2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README8.txt
    2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README7.txt
    2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README6.txt
    2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README5.txt
    2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README4.txt
    2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README3.txt
    2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README2.txt
    2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README10.txt
    2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README1.txt
    FirewallRules: [{AD24E643-658D-47AD-87DF-CBA00133AF30}] => (Allow) C:\GV-600\GV600.exe No File
    FirewallRules: [{32D852C2-7660-4496-AD2B-5DD61EDED06B}] => (Allow) C:\GV-600\GV600.exe No File
    FirewallRules: [{BE505CC5-630C-4807-B34A-C114BE6A792F}] => (Allow) C:\GV-NVR\CMSvr.exe No File
    FirewallRules: [{CB99E811-D2D7-4F21-A36F-5A5CCF1C51DF}] => (Allow) C:\GV-NVR\CMSvr.exe No File
    FirewallRules: [{1A60D224-7788-47B7-B501-2B7CDCD12751}] => (Allow) C:\GV-NVR\CMShttpSvr.exe No File
    FirewallRules: [{96AFBEF2-A494-4510-B437-ADAE56587CEE}] => (Allow) C:\GV-NVR\CMShttpSvr.exe No File
    FirewallRules: [{5884EB88-6E00-4D9B-9D26-BD4FC11282F4}] => (Allow) C:\GV-NVR\GVNVR.exe No File
    FirewallRules: [{2EEE5A27-6A90-41E6-9519-452C3008A42A}] => (Allow) C:\GV-NVR\GVNVR.exe No File
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Опубликовано

Спасибо всем кто откликнулся на мою проблему.

Зашиф. файлы записал на ДВД.

Систему снес, поставил с нуля, т.к. запросили ПК (работать надо на нем).

Соотв. выше операц. выполнить не могу.

Данные похоронили. 

Опубликовано

Расшифровка вряд ли появится в ближайшее время. Сносить систему не было необходимости.

 

На будущее: Рекомендации после удаления вредоносного ПО

система давно не обслуживалась, и там черт ногу поломает. За консультации и помощь всем спасибо.

Опубликовано

@joker84, на будущее в таких случаях лучше не только файлы записывать, а делать образ диска. Ибо для рассшировки (если она появится) могут потребоваться дополнительные файлы или ветки реестра созданные при работе вируса.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Екатерина Лучинина
      Автор Екатерина Лучинина
      Пару недель назад, столкнулась с проблемой, ни одну фотографию на компьютере не смогла открыть. Ну думаю, опять вирус подцепила(где и когда, не помню/не знаю), отнесу администратору на работе, должен починить...
      Принесла вчера, а он мне с порога, мол: " --Фигу, что я уже из своих фотографий увижу, если у меня их не было в другом месте." 
      А фотографии я не копировала никуда. В общем после пролитых слез полезла я поискать решение, ну и направило меня сюда.
      Поможите люди добрые, вроде все сделала по инструкции, вот лог.
       

      Ой, задвоилась тема, можно одну удалить?
      CollectionLog-2015.11.10-12.48.zip
      report1.log
      report2.log
    • Alex_hvost
      Автор Alex_hvost
      Добрый день! схожая проблема уже озвучивалась на этом форуме, следуя инструкциям создаю новую тему с тем сообщением что пришло мне:
      на рабочем столе появилась надпись красными буквами на черном экране: Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы и + на английском. Файлы стали зашифрованы под таким разрешением .xbtl и появилась 6 файлом readme в котором написано:
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: B3DF8C1ACB4CD7FA4CD8|0 на электронный адрес files1147@gmail.com или post100023@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: B3DF8C1ACB4CD7FA4CD8|0 to e-mail address files1147@gmail.com or post100023@gmail.com . Then you will receive all necessary instructions.  
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Прошу вас помочь с разрешением этой ситуации Спасибо
    • borka_e
      Автор borka_e
      Знакомый принес ноутбук, говорит не выходит в интернет, на ноутбуке все или большинство файлов зашифрованы - расширение xtbl, есть ли шансы на восстановление? Согласно инструкции на этом сайте почистил систему: Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt!. Сделал лог AutoLogger.exe, файл прилагаю. 
      CollectionLog-2015.10.27-10.40.zip
    • bom81
      Автор bom81
      Вирус зашифровал файлы
      примерно минут за 12
       
      сам файл, который запустил пользователь, нашел
      051115scan.scr
       
       
       
      Оставлены 10 файликов  на рабочем столе о том как расшифровать
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 339759B8033610BB2417|288|2|7 на электронный адрес files100001@gmail.com или files100002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 339759B8033610BB2417|288|2|7 to e-mail address files100001@gmail.com or files100002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.     могу приложить сам вирус и зашифрованные файлы     возможно ли их будет расшифровать? виндовс переставить не долго, а вот расшифровать... CollectionLog-2015.11.08-14.57.zip
    • vsmzadmin
      Автор vsmzadmin
      Пользователь открыл прикрепленный к письму архив с исполняемым файлом. В результате все документы зашифрованы, имена закодированы, расширение XTBL В файле readme.txt сообщение:  
            CollectionLog-2015.11.10-10.51.zip
×
×
  • Создать...