Шифратор с расширением .cripttt

[thyrex]

Проблемы с чтением?

 

Логи все так же в учетной записи без прав администратора. Переделывайте

[SGWinner]

Здравствуйте. Долго разбирался с проблемой, что возникла при превыдущей операции по восстановлению, плюс ко всему ещё и сессия началась...

Извините, что так долго не отвечал. Делаю все по новой, что бы разобраться с этим, т.к в зашифрованых файлах важная информация. 

Сделал сначала логи (прикрепил), скрипты сделал, архив карантина отправил, ответ с почты: Карантин [KLAN-5680354021], папки FRST и Addition заархивировал в одну папку, прикрепил.  Жду ответа. 

CollectionLog-2017.01.19-17.58.zip

FRST & Addition.zip

Изменено 19 января, 2017 пользователем SGWinner

[SGWinner]

Сделал ещё одни логи после всего, прикрепил. 

CollectionLog-2017.01.20-20.01.zip

[SQ]

Здравствуйте,


HiJackThis (утилита находится в папке Автологера - ...\AutoLogger\HiJackThis\) профиксить

R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=82d055fbab1426e3112119a04f644e6c&text=
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=82d055fbab1426e3112119a04f644e6c&text=
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Візуальні закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - (no file)
O2-32 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2-32 - BHO: script helper for ie - {9B5FB65F-631E-4564-ABF2-AD71845B28E0} - (no file)
O2-32 - BHO: Візуальні закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3-32 - Toolbar: (no name) - {5BCDC9E9-A980-4B53-B2E8-60CFF484DA61} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - (no file)
O20-32 - AppInit_DLLs: C:\PROGRA~3\Mozilla\apxxvrk.dll
O23 - Service R2: BDSGRTP Service - (BDSGRTP) - ????????(??)???? - C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BaiduProtect.exe

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.645\baiduprotect.exe');
 StopService('BAPIDRV');
 StopService('bd0002');
 StopService('bd0004');
 StopService('BDMWrench');
 StopService('BDSGRTP');
 DeleteService('BAPIDRV');
 DeleteService('bd0002');
 DeleteService('bd0004');
 DeleteService('BDMWrench');
 DeleteService('BDSGRTP');
 QuarantineFile('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.645\baiduprotect.exe','');
 QuarantineFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BaiduProtect.exe','');
 QuarantineFile('C:\PROGRA~3\Mozilla\apxxvrk.dll','');
 QuarantineFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\bd0002.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\bd0004.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\BDMWrench.sys','');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BaiduProtect.exe','32');
 DeleteFile('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.645\baiduprotect.exe','32');
 DeleteFile('C:\PROGRA~3\Mozilla\apxxvrk.dll','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys','32');
 DeleteFileMask('c:\program files (x86)\common files\baidu', '*', true, ' ');
 DeleteDirectory('c:\program files (x86)\common files\baidu');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(10);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

- Подготовьте лог AdwCleaner и приложите его в теме.

[SGWinner]

Здравствуйте) 

 

В утилите HiJackThis профиксил. 

Скрипты в AVZ сделал. 

Файл Карантина на почту отправил. Пришел ответ: 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

[KLAN-5693497886]

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
baiduprotect.exe
bd0004.sys
BDMWrench.sys

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ
 

Лог AdwCleaner подготовил, прикрепил. 

Жду ответа.

AdwCleanerS0.txt

Изменено 22 января, 2017 пользователем SGWinner

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[SGWinner]

Удалил всё, но с 4 попыток (извините, просто так получилось, что я не знал некоторые программы, и испугался удалять. Посмотрел в Интернете, удалил) 

Прикрепил 5 отчетов (4 - удаление, 1 - после удаления) 

Жду ответа. 

AdwCleanerC0.txt

AdwCleanerC2.txt

AdwCleanerC3.txt

AdwCleanerC4.txt

AdwCleanerS5.txt

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[SGWinner]

Скачал, просканировал, отчеты прикрепил. 

Жду ответа.

FRST.txt

Addition.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
  BHO: No Name -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> No File
  BHO: Візуальні закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
  BHO-x32: PlusmoBHO Class -> {E60EE7CB-74C0-4D51-960E-F2BB3B576DEE} -> No File
  FF Extension: (BonanzaDeals) - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\bb28zkdf.default\Extensions\{f9d03c26-0575-497e-821d-f7956d23e0ca} [2014-01-11] [not signed]
  FF Extension: (No Name) - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\bb28zkdf.default\extensions\qUZ4LnGvA@gmail.com [not found]
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @nitropdf.com/NitroPDF -> C:\Program Files (x86)\Nitro\Reader 3\npnitromozilla.dll [No File]
  CHR Plugin: (Shockwave Flash) - C:\Program Files (x86)\Google\Chrome\Application\55.0.2883.87\PepperFlash\pepflashplayer.dll => No File
  CHR Plugin: (Shockwave Flash) - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll => No File
  CHR Plugin: (Native Client) - C:\Program Files (x86)\Google\Chrome\Application\55.0.2883.87\ppGoogleNaClPluginChrome.dll => No File
  CHR Plugin: (Chrome PDF Viewer) - C:\Program Files (x86)\Google\Chrome\Application\55.0.2883.87\pdf.dll => No File
  CHR Plugin: (AVG SiteSafety plugin) - C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\14.2.0\\npsitesafety.dll => No File
  CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll => No File
  CHR Plugin: (GameCenter@Mail.Ru Detector) - C:\Users\Administrator\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll => No File
  R2 BDSGRTP; C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BaiduProtect.exe [1940072 2014-12-04] (百度在线网络技术（北京）有限公司)
  R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [181072 2014-10-21] (Baidu)
  R1 bd0004; C:\Windows\System32\DRIVERS\bd0004.sys [170312 2014-11-28] (Baidu)
  R2 BDArKit; C:\Windows\System32\DRIVERS\BDArKit.sys [152392 2014-12-25] (Baidu Technology)
  R1 BDMWrench; C:\Windows\System32\DRIVERS\BDMWrench.sys [130888 2014-12-22] (Baidu)
  S1 bd0002; system32\DRIVERS\bd0002.sys [X]
  S1 BDMWrench_x64; system32\DRIVERS\BDMWrench_x64.sys [X]
  S1 BDSafeBrowser; system32\drivers\BDSafeBrowser.sys [X]
  2016-12-29 23:18 - 2016-12-29 23:18 - 00000000 ____D C:\Users\User\AppData\Local\{6859D162-847E-4525-84F5-77CE958BACA9}
  2016-12-29 23:16 - 2016-12-29 23:16 - 00000000 ____D C:\Users\User\AppData\Local\{C1C46F64-CDA0-44F3-B198-D652F918E413}
  2013-09-28 21:04 - 2013-09-28 21:04 - 0000006 _____ () C:\Users\Administrator\AppData\Roaming\smw_inst
  2014-09-03 17:46 - 2014-09-03 17:46 - 0000000 _____ () C:\Users\Administrator\AppData\Local\{6E8F5301-0CBC-4C2F-B045-81DA8A50C731}
  2013-08-23 12:38 - 2013-08-23 12:38 - 0004999 _____ () C:\ProgramData\uxxadbmu.rlu
  CustomCLSID: HKU\S-1-5-21-699185657-3036055296-1927323197-500_Classes\CLSID\{19170A69-A883-40D5-AF97-F6DC41495F15}\InprocServer32 -> no filepath
  CustomCLSID: HKU\S-1-5-21-699185657-3036055296-1927323197-500_Classes\CLSID\{97836AB9-12C5-4C30-A128-B75196DD1787}\InprocServer32 -> no filepath
  CustomCLSID: HKU\S-1-5-21-699185657-3036055296-1927323197-500_Classes\CLSID\{ECF41531-0840-4361-955F-1157A091842F}\InprocServer32 -> no filepath
  Task: {1146DAD8-B9C8-4F1C-8EAB-2298722BB0B5} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION
  Task: {262BFBC6-AD29-43EE-9E74-F3A6E40A4375} - \{C42A5C87-483F-4D90-8AC0-48321FE48577} -> No File <==== ATTENTION
  Task: {36A42E79-A535-4736-B72B-26EDB1A1A0B5} - \TuneUpUtilities_Task_BkGndMaintenance2013 -> No File <==== ATTENTION
  Task: {5E200C1F-AB77-4F26-8F52-38D87F1F3210} - \BonanzaDealsUpdate -> No File <==== ATTENTION
  Task: {6DDDBB97-21D3-479B-A19A-6A82D42FB06E} - \{5F7FA6AE-FC2D-4AF1-B113-2D138980F168} -> No File <==== ATTENTION
  Task: {AC7FF972-554F-4B70-B7A7-B20E403400A0} - \{BDBDB34D-D86F-44D9-856D-1361D14604A2} -> No File <==== ATTENTION
  Task: {BFD3313E-2FFA-4AED-AC4B-7BB81FC9DE96} - \RegClean Pro -> No File <==== ATTENTION
  Task: {D152039E-83A9-4EE7-BF77-5B32D71B3201} - \DealPlyUpdate -> No File <==== ATTENTION
  Task: {DA59F87D-4D33-463C-858B-61FC72994FAB} - \sntxfrm -> No File <==== ATTENTION
  Task: {E97979D7-61C9-46D6-9B47-F2E92C7A524D} - \{CDED62DF-6A9E-4AEB-A5A5-E6E25FEA97E3} -> No File <==== ATTENTION
  Task: {F2458F23-C448-41F7-B867-1FFBDE3A64A0} - \DTChk -> No File <==== ATTENTION
  Task: {F2C538F9-D22A-4B89-B035-0520667AF417} - \DTReg -> No File <==== ATTENTION
  Task: {F7E0A305-332D-467E-AE4F-38B11D0090CE} - \{737EC473-D187-43E9-982B-4A6CB6EB7A39} -> No File <==== ATTENTION
  AlternateDataStreams: C:\Users\Administrator\AppData\Local:wa [146]
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

[SGWinner]

Все сделал, компьютер перезагрузился, лог-файл прикрепил. 

Жду ответа. 

Fixlog.txt

[SQ]

С лечение все.  По поводу расшифровки Вам, что-то писали?

[SGWinner]

Нет, мне никто ничего не писал по поводу расшифровки. 

Напишите, буду ждать ответа.

Изменено 25 января, 2017 пользователем SGWinner

[SQ]

Проверяйте лс (личное сообщение)

[SGWinner]

Ребята, спасибо, я вам очень благодарен! Востановил всё, все нормально! 

Очень рад, что вы мне помогли)

Особенно спасибо модераторам-консультантам SQ и thyrex, что помогли мне с проблемой) Очень благодарен вам ребята, еще раз спасибо!)  

Изменено 25 января, 2017 пользователем SGWinner