ransom.shade Вирус-шифровальщик!

[Кузьма Люзняк]

Помогите! У меня файлы зашифрованы с расширением .crypted000007 и .crypted000078,я нехочу потерять свои фото- и видео- файлы.

README1.txt

README2.txt

README3.txt

README4.txt

README5.txt

README6.txt

README7.txt

README8.txt

README9.txt

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Кузьма Люзняк]

Все видео-  фото- аудио- файлы стали с расширением .crypted000007 u .crypted000087,помогите пожалуйста!!!

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены

CollectionLog-2017.05.07-16.23.zip

[regist]

Здравствуйте!

 

 - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 TerminateProcessByName('c:\users\Пользователь\appdata\roaming\ht\explorer.exe');
 TerminateProcessByName('C:\Users\Пользователь\AppData\Roaming\System\svchost.exe');
 StopService('p1481289663am');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 QuarantineFile('c:\users\Пользователь\appdata\roaming\ht\explorer.exe', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Local\background_fault\bf.dll', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\System\svchost.exe', '');
 QuarantineFile('C:\Users\73B5~1\AppData\Local\Temp\bk5792.tmp\p1481289663am.sys', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svhost.exe', '');
 QuarantineFile('C:\Users\Пользователь\appdata\roaming\kyubey\kyubey.exe', '');
 QuarantineFile('C:\ProgramData\Package Cache\{FE250127-0DBB-47AA-8439-7A2FA145030F}v10.1.14393.795\Installers\MobileIntellisense.dll', '');
 QuarantineFileF('c:\users\Пользователь\appdata\roaming\icfib\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('crypted000007', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\users\пользователь\appdata\roaming\kyubey', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\windows\', '*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Пользователь\AppData\Local\Mozilla\Realtek HD\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Пользователь\appdata\roaming\kyubey\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Пользователь\appdata\roaming\winsapsvc\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('    C:\Users\Пользователь\appdata\roaming\winsnare\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\73B5~1\AppData\Roaming\setupsk\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Пользователь\appdata\local\3dm\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Пользователь\AppData\Roaming\System\', '*', true, '', 0, 0);
 DeleteFile('C:\Users\Пользователь\AppData\Local\background_fault\bf.dll');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 DeleteFile('c:\users\Пользователь\appdata\roaming\ht\explorer.exe', '32');
 DeleteFile('C:\ProgramData\Package Cache\{FE250127-0DBB-47AA-8439-7A2FA145030F}v10.1.14393.795\Installers\MobileIntellisense.dll');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\System\svchost.exe', '32');
 DeleteFile('C:\Users\73B5~1\AppData\Local\Temp\bk5792.tmp\p1481289663am.sys', '32');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svhost.exe', '32');
 DeleteFile('C:\Users\Пользователь\appdata\roaming\kyubey\kyubey.exe', '32');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteService('clr_optimization_v1.03');
 DeleteService('p1481289663am');
 DeleteFileMask('c:\programdata\windows\', '*', true);
 DeleteFileMask('C:\Users\Пользователь\AppData\Local\Mozilla\Realtek HD\', '*', true);
 DeleteFileMask('C:\Users\Пользователь\appdata\roaming\kyubey\', '*', true);
 DeleteFileMask('C:\Users\Пользователь\appdata\roaming\winsapsvc\', '*', true);
 DeleteFileMask('    C:\Users\Пользователь\appdata\roaming\winsnare\', '*', true);
 DeleteFileMask('C:\Users\73B5~1\AppData\Roaming\setupsk\', '*', true);
 DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\System\', '*', true);
 DeleteFileMask('c:\users\пользователь\appdata\roaming\kyubey', '*', true);
 DeleteDirectory('C:\Users\Пользователь\AppData\Local\Mozilla\Realtek HD\');
 DeleteDirectory('C:\Users\Пользователь\appdata\roaming\kyubey\');
 DeleteDirectory('C:\Users\Пользователь\appdata\roaming\winsapsvc\');
 DeleteDirectory('    C:\Users\Пользователь\appdata\roaming\winsnare\');
 DeleteDirectory('c:\programdata\windows\');
 DeleteDirectory('C:\Users\73B5~1\AppData\Roaming\setupsk\');
 DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\System\');
 DeleteDirectory('c:\users\пользователь\appdata\roaming\kyubey');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Системная программа');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', 'EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\jpsnvzsfmo', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tkvosnvoce', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[Кузьма Люзняк]

https://virusinfo.info/virusdetector/report.php?md5=9F969399C7F8C8C9037205080055984B

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
MobileIntellisense.dll

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

Re: [KLAN-6205635829]

[regist]

Выполните скрипт в АВЗ:

var PathAutoLogger, CMDLine : string;

  begin
  clearlog;
  PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
  AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
  SaveLog(PathAutoLogger+'report3.log');
  if FolderIsEmpty(PathAutoLogger+'CrashDumps')
     then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
     else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
      ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
  AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
  end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников http://rghost.ru/, http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ и дайте на него ссылку в Вашей теме.

И свежие логи Автологера вы не прикрепили.

 

+ На момент сбора предыдущих логов шифровальщик у вас был активен.

 

 

 

нехочу потерять свои фото- и видео- файлы.

Тогда надо было делать бэкапы.

[Кузьма Люзняк]

как прикрепит файлы?

[regist]

Расширенная форма под сообщением нажмите.

[Кузьма Люзняк]

У меня нет такого архива

Есть только файлы .txt report1 report2 report3

[regist]

 

 

У меня нет такого архива

Если вы скрипт не выполняли, то конечно не будет.

 

Рекомендации надо выполнять в том порядке, в каком они даются.