Перейти к содержанию

Зашифрованы файлы .cripttt


Рекомендуемые сообщения

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\SysPlayer\updater.exe','');
 QuarantineFile('C:\ProgramData\ShopperPro\spbihe.js','');
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Video\zikk.exe','');
 QuarantineFile('C:\PROGRA~1\COMMON~1\System\SYSPLA~2.DLL','');
 DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}');
 DelBHO('{A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C}');
 QuarantineFile('C:\ProgramData\ShopperPro\ShopperPro.dll','');
 QuarantineFile('C:\Users\User\AppData\Local\WjPEpNLb\mdSyqcVxHn1.exe','');
 QuarantineFile('C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.202\jsdrv.exe','');
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','');
 QuarantineFile('C:\ProgramData\WindowsMsg\osmsg.exe','');
 DeleteService('QMUdisk');
 DeleteService('softaal');
 DeleteService('SRepairDrv');
 DeleteService('TsDefenseBt');
 DeleteService('tsnethlpx64');
 DeleteService('TSSKX64');
 SetServiceStart('ContentProtectorDrv', 4);
 DeleteService('ContentProtectorDrv');
 DeleteService('QQPCRTP');
 SetServiceStart('gegulipizbt', 4);
 DeleteService('gegulipizbt');
 SetServiceStart('clr_optimization_v1.0', 4);
 DeleteService('clr_optimization_v1.0');
 QuarantineFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys','');
 TerminateProcessByName('c:\users\user\appdata\local\032b0290-1461024389-055a-2d06-ea0700080009\qnsod4b2.tmp');
 QuarantineFile('c:\users\user\appdata\local\032b0290-1461024389-055a-2d06-ea0700080009\qnsod4b2.tmp','');
 TerminateProcessByName('c:\users\user\appdata\roaming\nssm.exe');
 QuarantineFile('c:\users\user\appdata\roaming\nssm.exe','');
 DeleteFile('c:\users\user\appdata\roaming\nssm.exe','32');
 DeleteFile('c:\users\user\appdata\local\032b0290-1461024389-055a-2d06-ea0700080009\qnsod4b2.tmp','32');
 DeleteFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17347.218\QQPCRtp.exe','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17347.218\QMUdisk64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\softaal64.sys','32');
 DeleteFile('C:\Windows\GJFix\SRepairDrv','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17347.218\TsDefenseBT64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17347.218\TsNetHlpX64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\tsskx64.sys','32');
 DeleteFile('C:\ProgramData\WindowsMsg\osmsg.exe','32');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','32');
 DeleteFile('C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.202\jsdrv.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SPDriver','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpaceSoundPro','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\osmsg','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{754DF2CE-51E8-4895-B53C-6381418B84AE}');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17347.218\plugins\FileSmash\QMSoftExt.dll','32');
 DeleteFile('C:\Users\User\AppData\Local\WjPEpNLb\mdSyqcVxHn1.exe','32');
 DeleteFile('C:\ProgramData\ShopperPro\ShopperPro.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Maintenance\SPMupdate2','64');
 DeleteFile('C:\PROGRA~1\COMMON~1\System\SYSPLA~2.DLL','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Multimedia\SPMupdate3','64');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Video\zikk.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft Windows Video','64');
 DeleteFile('C:\Windows\system32\Tasks\ShopperPro','64');
 DeleteFile('C:\Windows\system32\Tasks\ShopperProJSUpd','64');
 DeleteFile('C:\Windows\system32\Tasks\ShopperProUpd','64');
 DeleteFile('C:\Program Files (x86)\ShopperPro\updater.exe','32');
 DeleteFile('C:\Program Files (x86)\ShopperPro\ShopperPro.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\SPBIW_UpdateTask_Time_333539353534303235382d2d37505a2a6c55326c342341','64');
 DeleteFile('C:\ProgramData\ShopperPro\spbihe.js','32');
 DeleteFile('C:\Windows\system32\Tasks\SPMupdate1','64');
 DeleteFile('C:\Windows\system32\Tasks\SPDriver','64');
 DeleteFile('C:\Windows\system32\Tasks\SysPlayerUpd','64');
 DeleteFile('C:\Program Files (x86)\SysPlayer\updater.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{EFFBBD3E-EA20-45C2-B801-0946C1D18EA7}','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Полученный ответ:

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 
osmsg.exe - not-a-virus:AdWare.Win32.Agent.jvji
qnsod4b2.tmp - not-a-virus:AdWare.Win32.ConvertAd.bbhf
Это файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление баз.
ContentProtectorDrv.sys - not-a-virus:RiskTool.Win64.NetFilter.cf
Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.
nssm.exe
Вредоносный код в файле не обнаружен.

KLAN-4173773373

 

 

CollectionLog-2016.04.27-20.04.zip

ClearLNK-27.04.2016_19-49.log

Ссылка на комментарий
Поделиться на другие сайты

Восстановление файлов будет на последнем этапе после зачистки мусора.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1110609543-1180543350-3337245361-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-1110609543-1180543350-3337245361-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=131046350428920644&GUID=3489313F-233B-43D8-B636-7F6499291D77
BHO-x32: У¦УГ±¦Т»јь°ІЧ°Іејю -> {50F4150A-48B2-417A-BE4C-C83F580FB904} -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司)
BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
FF Plugin-x32: @qq.com/npAndroidAssistant -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司)
CHR Extension: (Http blocker) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\okjdabpnodcpnemmamodgoikmabakaeb [2016-03-24]
CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kmafjceipgfaoldhhbkgdihfbjaioaen] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojhagnahfpegocdhlopgljpaafeogmcc] - C:\Program Files (x86)\ShopperPro\ShopperPro.crx <not found>
OPR Extension: (Антимат) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\dojgfgknadakhfnaogaipdbdamepeffe [2016-04-29]
2016-04-17 20:48 - 2016-04-17 20:48 - 00615457 _____ C:\Users\User\Downloads\6134.tmp
2016-04-17 20:48 - 2016-04-17 20:48 - 00615457 _____ C:\Users\User\Downloads\4F87.tmp
2016-03-23 15:05 - 2016-03-24 11:06 - 00000000 ____D C:\Users\Все пользователи\OWdMO
2016-03-23 15:05 - 2016-03-24 11:06 - 00000000 ____D C:\ProgramData\OWdMO
2016-03-23 15:05 - 2016-03-23 15:18 - 00015482 _____ C:\Users\Все пользователи\webad.xml
2016-03-23 15:05 - 2016-03-23 15:18 - 00015482 _____ C:\ProgramData\webad.xml
2016-03-23 15:03 - 2016-04-05 02:41 - 00000000 ____D C:\Program Files (x86)\badu
2016-03-23 15:03 - 2016-03-23 15:12 - 00000000 ____D C:\Users\Все пользователи\ContentProtector
2016-03-23 15:03 - 2016-03-23 15:12 - 00000000 ____D C:\ProgramData\ContentProtector
2016-03-23 15:03 - 2016-03-23 15:03 - 00000000 ____D C:\Users\User\AppData\Roaming\gplyra
2016-03-23 15:03 - 2016-03-23 15:03 - 00000000 _____ C:\Windows\SysWOW64\Number of results
2016-03-16 23:07 - 2016-03-23 14:59 - 00000000 ____D C:\Windows\GJFix
2016-03-16 23:07 - 2016-03-16 23:07 - 00005120 _____ C:\Users\User\AppData\Roaming\GiftBag.db
2016-03-16 23:06 - 2016-03-17 07:41 - 00000000 ____D C:\Users\Все пользователи\TXQMPC
2016-03-16 23:06 - 2016-03-17 07:41 - 00000000 ____D C:\ProgramData\TXQMPC
2016-03-16 23:06 - 2016-03-17 00:35 - 00054904 _____ (电脑管家) C:\Windows\system32\Drivers\TSSKX64.sys
2016-03-16 23:06 - 2016-03-16 23:06 - 00000000 ____D C:\Program Files\Common Files\Tencent
2016-03-16 23:05 - 2016-03-17 00:35 - 00097400 _____ (电脑管家) C:\Windows\system32\Drivers\TFsFltX64.sys
2016-03-16 23:02 - 2016-03-17 07:10 - 00000000 ____D C:\Users\User\AppData\Local\WjPEpNLb
2016-03-16 23:02 - 2016-03-17 07:10 - 00000000 ____D C:\Users\User\AppData\Local\pETbUF
2016-03-16 23:02 - 2016-03-16 23:55 - 00000000 ____D C:\Users\User\AppData\Roaming\Tencent
2016-03-16 23:02 - 2016-03-16 23:02 - 00000000 ____D C:\Program Files (x86)\Tencent
2016-03-16 22:51 - 2016-04-29 13:40 - 00000000 ____D C:\Users\User\AppData\Local\032B0290-1458168697-055A-2D06-EA0700080009
2016-03-16 22:51 - 2016-03-16 23:09 - 00000000 ____D C:\Users\Все пользователи\Tencent
2016-03-16 22:51 - 2016-03-16 23:09 - 00000000 ____D C:\ProgramData\Tencent
2016-03-16 22:50 - 2016-03-16 22:48 - 00000170 _____ C:\Windows\system32\Drivers\etc\hp.bak
2016-03-16 22:49 - 2016-03-17 07:10 - 00000000 ____D C:\Users\User\AppData\Local\Hostinstaller
2016-03-16 22:49 - 2016-03-16 22:49 - 00003542 _____ C:\Windows\System32\Tasks\Soft installer
2016-03-16 22:48 - 2016-04-29 13:43 - 00001027 ____X C:\Users\User\Desktop\ImageCropResize.lnk
2016-03-16 22:48 - 2016-03-16 23:00 - 00000000 ____D C:\Users\User\AppData\Roaming\ImageCropResize
2016-03-16 22:47 - 2016-03-16 22:47 - 00000190 ____X C:\Users\User\Desktop\Искать в Интернете.url
C:\Users\User\AppData\Local\Temp\fsdE470.exe
Task: {0184FD62-6ACB-4AB2-94F0-8D234D1B51AB} - \Microsoft\Windows\Maintenance\SPMupdate2 -> No File <==== ATTENTION
Task: {592D5F27-B62D-43AF-88FD-4F0FFDB695C1} - \SPMupdate1 -> No File <==== ATTENTION
Task: {6E3765A4-15DA-4178-B9D7-4DB573E9E9C1} - \Microsoft\Windows\Multimedia\SPMupdate3 -> No File <==== ATTENTION
Task: {6FBA4015-1361-4795-8A8A-45588F075C00} - \ShopperProUpd -> No File <==== ATTENTION
Task: {76FCBB9B-3212-4AB4-A7A0-54CD54828390} - \{EFFBBD3E-EA20-45C2-B801-0946C1D18EA7} -> No File <==== ATTENTION
Task: {B19F68F5-AE9B-448F-AD1B-82C31E190568} - \Microsoft Windows Video -> No File <==== ATTENTION
Task: {CCB35591-EB95-4F51-98F8-73652E52F141} - \SysPlayerUpd -> No File <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...