Перейти к содержанию

Вирус зашифровал файлы с расширением cripttt

SergIv
 Поделиться

Рекомендуемые сообщения

SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Сами ставили ZipTool?

Удалите youndoo через установку программ в панели управления.

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction - Chrome <======= ATTENTION
BHO: Skype Click to Call for Internet Explorer -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer x64\skypeieplugin.dll => No File
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @baidu.com/BaiduExpert-npplugin -> C:\Users\Рафик\AppData\Roaming\Baidu\BDWebAdapter\3.0.359.0\npBDExNP.dll [2016-08-05] (百度在线网络技术(北京)有限公司)
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR HomePage: ChromeDefaultData2 -> hxxp://www.youndoo.com/?z=f721fe25e3a90a3797dba3ag2zfm9z3m2c7oee3wcz&from=amz&uid=ST3250318AS_5VM424CTXXXX5VM424CT&type=hp
CHR StartupUrls: ChromeDefaultData2 -> "hxxp://www.youndoo.com/?z=f721fe25e3a90a3797dba3ag2zfm9z3m2c7oee3wcz&from=amz&uid=ST3250318AS_5VM424CTXXXX5VM424CT&type=hp"
CHR DefaultSearchURL: ChromeDefaultData2 -> hxxp://www.youndoo.com/search/?q={searchTerms}&z=f721fe25e3a90a3797dba3ag2zfm9z3m2c7oee3wcz&from=amz&uid=ST3250318AS_5VM424CTXXXX5VM424CT&type=sp
CHR DefaultSearchKeyword: ChromeDefaultData2 -> youndoo
CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
File: C:\Windows\system32\svchost.exe
File: C:\Windows\SysWOW64\svchost.exe
Zip: C:\Windows\system32\svchost.exe;C:\Windows\SysWOW64\svchost.exe
2016-11-17 17:26 - 2016-11-17 17:27 - 00000000 ____D C:\Program Files (x86)\7ephr3ei
2016-11-17 16:26 - 2016-11-17 16:26 - 00000000 ____D C:\Program Files (x86)\zoutxs4n
2016-11-15 17:17 - 2016-11-16 10:52 - 00000000 ____D C:\Program Files (x86)\{201CDE68-C3F4-4E55-9E27-4C1E9EED4BBE}
2016-11-15 17:17 - 2016-11-15 17:17 - 00000000 ____D C:\Program Files (x86)\ng9ue56v
2016-11-15 16:57 - 2016-11-15 17:16 - 00000000 ____D C:\Program Files (x86)\{7BA72AE2-D9C0-431B-BD85-BE43BB40877A}
2016-11-15 16:57 - 2016-11-15 16:57 - 00000000 ____D C:\Program Files (x86)\qqp0680w
2016-11-15 16:34 - 2016-11-15 16:56 - 00000000 ____D C:\Program Files (x86)\{2185A41A-0269-4042-A53E-55CD93F31DA3}
2016-11-15 16:34 - 2016-11-15 16:35 - 00000000 ____D C:\Program Files (x86)\tggshoby
2016-11-15 16:15 - 2016-11-15 16:33 - 00000000 ____D C:\Program Files (x86)\{BF425B03-43E0-49C4-B335-45BD6BCB08EB}
2016-11-15 16:15 - 2016-11-15 16:15 - 00000000 ____D C:\Program Files (x86)\3xqpmmgv
2016-11-15 15:54 - 2016-11-15 16:14 - 00000000 ____D C:\Program Files (x86)\{F252C203-C848-4EE5-A14A-0B6140FA8B28}
2016-11-15 15:54 - 2016-11-15 15:55 - 00000000 ____D C:\Program Files (x86)\ygaadz9u
2016-11-15 15:10 - 2016-11-15 15:54 - 00000000 ____D C:\Program Files (x86)\{3FE7DDBE-32EE-4001-AEE4-23965F9754C0}
2016-11-15 15:10 - 2016-11-15 15:11 - 00000000 ____D C:\Program Files (x86)\8ylcc197
2016-11-18 14:58 - 2016-09-24 21:42 - 00000000 ____D C:\Program Files (x86)\Cluwerdomghsight
2016-11-18 14:58 - 2016-09-24 17:36 - 00000000 ___HD C:\Users\UDPdp\UDPnp6
2016-11-18 14:58 - 2016-09-24 17:36 - 00000000 ___HD C:\Users\UDPdp\UDPnp5
2016-11-18 14:58 - 2016-09-24 17:36 - 00000000 ___HD C:\Users\UDPdp\UDPnp4
2016-11-18 14:58 - 2016-09-09 22:09 - 00000000 ___HD C:\Users\MSUser.Default\Help_5
2016-11-18 14:58 - 2016-09-09 22:09 - 00000000 ___HD C:\Users\MSUser.Default\Help_4
2016-11-18 14:58 - 2016-09-09 22:09 - 00000000 ___HD C:\Users\MSUser.Default\Help_3
2016-11-18 11:52 - 2016-09-10 09:38 - 00000000 ____D C:\Program Files\їмС№
2016-11-11 18:15 - 2016-09-24 17:36 - 00000000 ___HD C:\Program Files (x86)\wjidu7kz
2016-11-11 17:43 - 2016-09-09 22:10 - 00000000 ____D C:\Program Files (x86)\sbqh
2016-11-11 17:41 - 2016-09-24 21:47 - 00000000 ____D C:\Program Files (x86)\Ckerlole
2016-11-11 17:40 - 2016-09-24 21:27 - 00000000 ____D C:\Program Files\Common Files\cn5sgotk
2016-11-11 17:40 - 2016-09-24 20:26 - 00000000 ____D C:\Program Files\Common Files\5za5cbf5
2016-11-11 14:01 - 2016-09-09 22:09 - 00000000 ___HD C:\Users\MSUser.Default\Help_6
2016-11-11 13:56 - 2016-09-24 17:36 - 00000000 ___HD C:\Users\UDPdp\UDPnp3
2016-09-10 21:50 - 2016-09-24 17:39 - 7175680 _____ () C:\Users\Рафик\AppData\Roaming\agent.dat
2016-09-24 17:38 - 2016-09-24 17:37 - 2270208 _____ () C:\Users\Рафик\AppData\Roaming\AlphaJob.exe
2016-09-24 17:38 - 2016-09-24 17:38 - 0072828 _____ () C:\Users\Рафик\AppData\Roaming\AlphaJob.tst
2016-09-10 21:49 - 2016-09-24 17:38 - 0054272 _____ () C:\Users\Рафик\AppData\Roaming\ApplicationHosting.dat
2016-09-24 17:39 - 2016-09-24 17:37 - 2270208 _____ () C:\Users\Рафик\AppData\Roaming\Bluelex.exe
2016-09-24 17:39 - 2016-09-24 17:39 - 1926611 _____ () C:\Users\Рафик\AppData\Roaming\Bluelex.tst
2016-09-10 21:50 - 2016-09-24 17:39 - 0070704 _____ () C:\Users\Рафик\AppData\Roaming\Config.xml
2015-12-09 21:23 - 2015-12-09 21:23 - 0005120 _____ () C:\Users\Рафик\AppData\Roaming\GiftBag.db
2016-09-10 21:49 - 2016-09-24 17:38 - 0021168 _____ () C:\Users\Рафик\AppData\Roaming\InstallationConfiguration.xml
2016-09-10 21:49 - 2016-09-24 17:37 - 0140288 _____ () C:\Users\Рафик\AppData\Roaming\Installer.dat
2016-09-10 21:49 - 2016-09-10 21:49 - 0072848 _____ () C:\Users\Рафик\AppData\Roaming\Kindex.tst
2016-09-10 21:49 - 2016-09-24 17:38 - 0126464 _____ () C:\Users\Рафик\AppData\Roaming\lobby.dat
2016-09-10 21:50 - 2016-09-24 17:39 - 0018432 _____ () C:\Users\Рафик\AppData\Roaming\Main.dat
2016-09-10 21:49 - 2016-09-24 17:39 - 0005568 _____ () C:\Users\Рафик\AppData\Roaming\md.xml
2016-09-10 21:50 - 2016-09-24 17:39 - 0126464 _____ () C:\Users\Рафик\AppData\Roaming\noah.dat
2016-09-24 17:41 - 2016-09-24 17:41 - 0041472 _____ () C:\Users\Рафик\AppData\Local\Supertouch.dat
2016-09-24 17:41 - 2016-09-24 17:41 - 0000187 _____ () C:\Users\Рафик\AppData\Local\Supertouch.exe.config
2016-05-24 22:54 - 2016-05-24 22:54 - 0000000 _____ () C:\Users\Рафик\AppData\Local\{8E24FA70-E002-4C94-BBCC-8EFA09E21AAB}
Task: {2A2AB4B8-042C-4A10-B148-C97EF43E4CE9} - \{1FCED053-275E-4E3C-B7B4-A3B57CF9E2E3} -> No File <==== ATTENTION
Task: {4661CDC0-7BF1-46F4-A77C-16BB8A9B859A} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION
IE trusted site: HKU\S-1-5-21-2433556127-375267949-2168679128-1000\...\baidu.com -> hxxp://baidu.com
MSCONFIG\startupreg: BaiduPinyin => 
MSCONFIG\startupreg: C => 
FirewallRules: [{95D323DD-11BB-453F-A3F7-18CA4EC03CBF}] => (Allow) C:\Program Files (x86)\Baidu\BaiduPinyin\UIFrame\1.0.0.151\uiframe.exe
FirewallRules: [{90832BAD-5620-492F-84A0-E47C2F39EE5D}] => (Allow) C:\Program Files (x86)\Baidu\BaiduPinyin\UIFrame\1.0.0.151\uiframe.exe
FirewallRules: [{CF5EF980-6294-47D5-ACF6-B5A0783C8372}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{2BE9016F-C171-42CF-8D70-CE66AA97C367}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
CMD: sc delete MuroghfibchCloud
CMD: sc query MuroghfibchCloud
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

    Upload.zip с рабочего стола отправьте по адресу newvirus@kaspersky.com.
    1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
    2. В письме напишите "Выполняется запрос хэлпера".
    3. Прикрепите файл карантина и нажмите "Отправить"
    4. Полученный ответ сообщите здесь (с указанием номера KLAN)
Ссылка на комментарий
Поделиться на другие сайты
SergIv Новичок

SergIv

Опубликовано
  • Автор
Опубликовано

все сделал , файл прилагаю . Такой вопрос после запуска FRST на рабочем столе появились 2 zip файла , их оба отправлять ? 


Получил ответ от лаборатории Касперского :

 

KLAN-5370208652
Здравствуйте,
 
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   
 
svchost.exe,
svchost.exe
 
Вредоносный код в файлах не обнаружен.
 
 
С уважением, Лаборатория Касперского

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • orbita06
      вирус зашифровал файлы
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
    • zsvnet
      файлы зашифрованы вирусом
      Автор zsvnet
      obrazec.zipAddition.txtShortcut.txtFRST.txtДобрый день! Зашифровали файлы.
      Скорее всего проникли через RDP. Исходный ПК неработоспособен. Диск подключен к другому ПК и на нем запускали FRST.
    • itman
      История про зашифрованные файлы.
      Автор itman
      Добрый день всем! Хочу поведать вам всем поучительную историю как делать НЕ НАДО!!! В апреле месяце подцепили вирус -шифровальщик! Утром пришли  пользователи, а там все зашифровано на 3 севаках и 2х локалках на которых была расшаренная какая-то папка!! печаль !!! ну а что делать?! благо сисадмин делал копию раз в месяц акрониксом всех серверов, а бухгалтер помимо всего копии на внешний hdd каждое утро и хдд этот хранил в сейфе! (рекомендую всем бухгалтерам так делать!!!) и вот утром сисадмину звонок: -ААА!! Все пропало!! Что делать???? ничего не работает!!!  Помоги!!! и проч))) ну что проснулся от и начал смотреть что все таки произошло! на каждом из серваков при запуске вот такой текст: Encrypted by trust
       Email us for recovery: Rdpdik6@gmail.com
       In case of no answer, send to this email: Rdpp771@gmail.com
      Your unqiue ID:  писать не буду.
       Почти  все файлы (кроме *.dll и тому подобных и системных зашифрованы и переименованы по формуле имя.расширение. [Rdpdik6@gmail.com].lockedfile) и в каждой папке файлик txt c вот таким содержимым:
       Email 1:
      Rdpdik6@gmail.com
      Email 2:
      Rdpp771@gmail.com
      Send messages to both emails at the same time
      So send messages to our emails, check your spam folder every few hours
      ID: эту строчку сотру на всякий случай)
      If you do not receive a response from us after 24 hours, create a valid email, for example, gmail,outlook
      Then send us a message with a new email
      Ну сисадмин начал заниматься восстановлением копии то есть пусть месячные но все же копии а базы 1с так вообще вчерашние!!!  (а это самое главное!) прежде чем все восстанавливать сделал копию того что зашифровали а мало ли)) ну и параллельно всё-таки решил он написать этим недо людям (медикам на букву П), что так и так копии есть ущерб не большой на то что пока будет восстанавливаться копия уйдет время давайте разойдемся все миром и в итоге договорились на 30 баксах. Сисадмин им перевел на их кошелек, а они его кинули ни хрена они ему не прислали!!!!
      Прошло какое-то время (месяца полтора!) и тут пользователи посмотрели что у одного там пара доков осталась в общей папке уже после того как делалась копия у другого тоже какие-то доки  у третьего вообще фото с корпоратива и подумали они что всё-таки давай заплатим этим  людям нетрадиционной ориентации) сумму которую они просят! Скинулись толпой. Вот на переговоры опять отправили сисадмина (как жаль его)! Опять шли переговоры пару дней а то и больше ну вроде нашли они компромисс с шантажистами в размере 250$ те опять прислали адрес куда переводить деньги причем второй раз без гарантий! Типа из всех гарантий попросили прислать любой зашифрованный файл не более мегабайта и они покажут что всё-таки могут расшифровать. Отправили им какой-то pdf они в ответ скрин файла только весь замазанный видно только пару слов по которым надо только больше догадываться! По итогу  Он им опять перевел общий банк:
      Получаете:
      200.0813 Tether TRC20 USDT
      На счет:
      TBgx7szAXYNSwPJz1Ama2K85kTXrCcsnG1
       
      И? что вы думаете? Эти деятели пишут:
      Sinior (это ник в телеге одного из шантажистов )
      Deposit $50
      Sinior
      I won't give you the key until you pay me $50.
      Типа вы не доплатили 50 баксов!! Вот так уважаемые читатели этого поста ни в коем случае не вздумайте им платить так как они вам все равно ничего не пришлют!!! А деньги вы потеряете!!! И ни одного файла не расшифруете там рассчитано не на то чтоб найти компромисс а на то чтоб выдурить с вас побольше денег!!!!!!!
      P.S.    Делайте резервные копии и храните их на внешних hhd  и не оставляйте их подключенными к компьютеру! Сделал копию и отключай да не удобно зато надежно!!!! Всем удачи!!!!
       
      Сообщение от модератора thyrex Перенесено из раздела по шифровальщикам
       
    • tamerlan
      Зашифровались файлы
      Автор tamerlan
      Доброго дня. зашифровались все файлы в формат .danie 
      Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
      Помогите пожалуйста.
    • Mep3aBEz
      Зашифровались файлы
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
×
×
  • Создать...