Перейти к содержанию

Вирус шифровальщик *.decryptallfiles3@india

andrew0352
 Share

Рекомендуемые сообщения

andrew0352 Новичок

andrew0352

Опубликовано
Опубликовано

Доброго времени суток. Подцепил вирус шифровальщик , все файлы стали с расширением " *.decryptallfiles3@india" и при запуске системы открывается окно с просьбой сообщить свой ID  на эл.почту "decryptallfiles3@india.com" (присвоился из файла "Read Me Please" который находится в каждой папке. Пробовал разные утилиты для расшифровки но ни что не помогло.


1-я часть файла не шифрованный


2-я часть файла не шифрованный


1-я часть файла шифрованный


2-я часть файла шифрованный

CollectionLog-2017.03.08-14.54.zip

foto-good.part1.rar

foto-good.part2.rar

pa-MZ3HLDO39cWbp.decryptallfiles3@india.part1.rar

pa-MZ3HLDO39cWbp.decryptallfiles3@india.part2.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare 10

bestsalesprofit

ContentProtector

MinesweeperApp2

Smart Defrag 5

Unity Web Player

Video and Audio Plugin UBar

Служба автоматического обновления программ

Что не получится стандартно, удалите через Revo Uninstall

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('ContentProtectorDrv');
 QuarantineFileF('c:\program files\contentprotector', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys', '');
 QuarantineFile('C:\Users\notebook\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 DeleteFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys', '32');
 DeleteFile('C:\Program Files\contentprotector\condefclean.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\conprotsetup.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectorconrol.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectordrv.sys', '32');
 DeleteFile('C:\Program Files\contentprotector\import_root_cert.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\libeay32.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\certutil.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\mozcrt19.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\nspr4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\nss3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\plc4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\plds4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\smime3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\softokn3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\ssleay32.dll', '32');
 DeleteFileMask('c:\program files\contentprotector', '*', true);
 DeleteDirectory('c:\program files\contentprotector');
 DeleteService('ContentProtectorDrv');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Удалите Автологер и созданную им папку вместе с содержимым. Скачайте заново и повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
  • 2 weeks later...
andrew0352 Новичок

andrew0352

Опубликовано
  • Автор
Опубликовано

После Выполните скрипт в AVZ (первого скрипта) - синий екран

После второго скрипта Файл quarantine.zip из папки с распакованной утилитой AVZ - имеет 0 Mb

Я не могу его прикрепит и отправить по адресу newvirus@kaspersky.com

Что я делаю не так?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Постарайтесь не делать таких длинных перерывов в лечении.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B0DAC016C-5AE2-4789-898C-00E38B98FA4C%7D&gp=811022
CHR DefaultSearchKeyword: Default -> go.mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR Extension: (BestSalesProfit) - C:\Users\notebook\AppData\Local\Google\Chrome\User Data\Default\Extensions\nfifbepiadlffiooandnambiojdgccdo [2016-12-13]
2017-04-12 13:25 - 2016-12-13 19:08 - 00000000 ____D C:\Users\notebook\AppData\LocalLow\IObit
2017-04-12 13:25 - 2016-12-13 19:08 - 00000000 ____D C:\Program Files\Common Files\IObit
2017-04-12 13:25 - 2016-12-13 19:07 - 00000000 ____D C:\Users\Все пользователи\IObit
2017-04-12 13:25 - 2016-12-13 19:07 - 00000000 ____D C:\Users\notebook\AppData\Roaming\IObit
2017-04-12 13:25 - 2016-12-13 19:07 - 00000000 ____D C:\ProgramData\IObit
2017-04-06 17:55 - 2017-04-06 17:55 - 0245480 _____ () C:\Users\notebook\AppData\Local\Temp\condefclean.exe
Task: {63888887-B61D-4D46-83D0-CC7A920531A1} - System32\Tasks\3.0 => C:\ProgramData\WindowsY\chair.exe 
Task: {66D0BCA3-4654-49D8-9B0B-A6BBCA834578} - System32\Tasks\Driver Booster SkipUAC (notebook) => C:\Program Files\IObit\Driver Booster\4.1.0\DriverBooster.exe 
FirewallRules: [{8CEB84C3-9BF2-496B-93B8-A5082D78CC03}] => (Allow) c:\users\notebook\appdata\roaming\10394394\svchost.exe
FirewallRules: [{3183F60D-C4FE-4AF2-8665-2A8E4C0F051F}] => (Allow) C:\Program Files\UBar\ubar.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • serg12345
      Вирус pedrolloanisimka
      От serg12345
      Подхватили вирус и всё зашифровано. Есть возможность помочь в этом? 
    • sysmgv113
      Расшифровать файлы
      От sysmgv113
      Компания "МЕТА" являемся пользователями  продукта:
      Kaspersky Small Office Security Desktop International Edition: 14 Desktops; Kaspersky
      Small Office Security 7.0 File Server Protection : 1 FileServer; Kaspersky Password
      Manager: 14 Users; Kaspersky Internet Security for Android: 14 Mobile devices
       
      На экране Server 2003 (легальная копия) появилось сообщение:
      All your files have been encrypted! All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail 3441546223@qq.com Write this ID in the title of your message C4A32041 In case of no answer in 24 hours write us to theese e-mails:3441546223@qq.com You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
      И на всех дисках файлы оказались зашифрованы вирусом шифровальщиком.
      Помогите с расшифровкой, пожалуйста.
      Лог прилагаю
      https://cloud.mail.ru/public/2oFq/rHWu4dC1S
    • jlexa2008
      Шифровальщик .cryptopatronum@protonmail.com.enk
      От jlexa2008
      Здравствуйте, вирус шифровальщик зашифровал все важные файлы на компьютере (базы SQL и прочие)
       
      файлик HOW TO RECOVER ENCRYPTED FILES.txt.cryptopatronum@protonmail.com
      описание вымогателей зашифровал сам себя прочитать его невозможно
       
      во вложении файл автоматического сборщика логов ( + там же от Farbar Recovery Scan Tool  2 лог файла)
      пример зашифрованного файла в архиве (и оригинальный файл) (чат.png)

      проверка антивирусной программой (касперского) ничего не нашла (запускал на сервере, файлы на котором зашифровались, он находится в удаленном доступе)
      CollectionLog-2020.01.27-10.56.zip
    • Роман933
      Помогите расшифровать файлы .bora от вируса-шифровальщика
      От Роман933
      Здравствуйте!
      Помогите расшифровать файлы с расширением .bora от вируса-шифровальщика (Ransomware). Нигде в сети по такому расширению информации нет. Обычные дешифраторы не помогают. Windows 7 не был настроен на регулярное архивирование, поэтому прежних копий файлов не сохранилось.
      Пробовал
      Recuva
      STOPDecrypter
      Hetman_partition_recovery
      RS_file_repair и другие - ничего не помогает. Я в отчаянии.
       

      Сообщение от модератора thyrex Перенесено из Компьютерной помощи
    • doneld
      Шифровальщик .[veracrypt@foxmail.com].adobe
      От doneld
      Добрый день, поймал шифровальщик veracrypt@foxmail.com.
      Видимо пролез по rdp через пользователя без прав. В какойто момент увидел у юзера левый процесс "veracrypt@foxmail.com.exe", вроде вовремя выключил, но зашифровал добротную кучу файлов.
×
×
  • Создать...