Шифровальщик .crypted000007

[DenisVortman]

Здравствуйте, поймали шифровальщик crypted000007, пришел в письме. Письмо удалили. Проверил Kaspersky Virus Removal Tool 2015. 

Помогите пожалуйста.

CollectionLog-2017.05.11-11.49.zip

[SQ]

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ExecuteRepair(14);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Simonyan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Internet Ехрlоrеr Вrоwser.lnk', '');
 QuarantineFile('C:\Users\Simonyan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', '');
 QuarantineFile('C:\Users\Simonyan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk', '');
 QuarantineFile('C:\Users\Simonyan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Simonyan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 QuarantineFile('C:\Users\Simonyan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Simonyan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 AutoFixSPI;
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

Программы/расширения от Mail.ru используете?
 

[DenisVortman]

Все сделал, прикрепил логи. маил не используется.

Addition.txt

FRST.txt

Check_Browsers_LNK.log

ClearLNK-11.05.2017_12-45.log

CollectionLog-2017.05.11-12.53.zip

[regist]

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

+

Java(TM) 6 Update 45 [20140220]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216045FF}
McAfee Security Scan Plus [2017/05/04 08:41:08]-->"C:\Program Files\McAfee Security Scan\uninstall.exe"

деинсталируйте.

 

+

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 AutoFixSPI;
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено 11 мая, 2017 пользователем regist

[DenisVortman]

добавил логи

все программы удалил

AdwCleanerS0.txt

CollectionLog-2017.05.11-13.32.zip

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[DenisVortman]

Все удалил.

AdwCleanerS1.txt

AdwCleanerC0.txt

[SQ]

Приложите новые логи утилиты FRST (FRST.txt и Addition.txt)

[DenisVortman]

добавил.

Addition.txt

FRST.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  CHR HKU\S-1-5-21-584489794-163255153-308734819-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  Winsock: Catalog5-x64 07 C:\Program Files\Bonjour\mdnsNSP.dll => No File
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
  S2 NTService1; "C:\Program Files (x86)\Jads\Jads\InjectorServiceProject.exe" [X]
  S2 VersionUpdService; "C:\Program Files (x86)\Jads\Jads\VersionUpdaterService.exe" [X]
  2017-05-11 08:43 - 2017-05-11 10:18 - 00000000 __SHD C:\Users\Все пользователи\Windows
  2017-05-11 08:43 - 2017-05-11 10:18 - 00000000 __SHD C:\ProgramData\Windows
  Folder: C:\ProgramData\firebird
  Folder: C:\Program Files (x86)\gnivc
  Folder: C:\Program Files (x86)\Jads
  2016-06-15 10:39 - 2016-06-01 18:14 - 2187992 _____ (Mail.Ru) C:\Users\Simonyan\AppData\Local\Temp\6527-7398-a726-5d1c.exe
  2015-01-18 19:00 - 2015-01-18 19:02 - 50381352 _____ (LLC Mail.Ru) C:\Users\Simonyan\AppData\Local\Temp\AmigoDistrib.exe
  2015-09-09 22:50 - 2015-09-09 22:52 - 46846184 _____ (Mail.Ru) C:\Users\Simonyan\AppData\Local\Temp\amigo_setup.exe
  2015-06-02 20:48 - 2015-06-02 20:48 - 3953384 ____N () C:\Users\Simonyan\AppData\Local\Temp\hFNHlQ465C12.exe
  2015-01-18 19:00 - 2015-01-18 19:01 - 11061992 _____ () C:\Users\Simonyan\AppData\Local\Temp\mailruhomesearchvbm.exe
  2015-01-18 19:02 - 2014-12-25 20:39 - 7156456 ____N (Mail.Ru) C:\Users\Simonyan\AppData\Local\Temp\MailRuUpdater.exe
  2016-09-05 13:51 - 2017-04-14 21:21 - 4127960 _____ (Mail.Ru) C:\Users\Simonyan\AppData\Local\Temp\mrutmp.exe
  2016-11-29 16:15 - 2017-02-27 17:52 - 0239104 ____N () C:\Users\Simonyan\AppData\Local\Temp\rn32.dll
  2015-01-18 19:09 - 2015-01-18 19:09 - 0008704 _____ (Microsoft Corporation) C:\Users\Simonyan\AppData\Local\Temp\SpOrder.dll
  2014-02-20 00:37 - 2013-02-04 15:29 - 0116694 _____ () C:\Users\Simonyan\AppData\Local\Temp\Uninstall.exe
  Task: {5F3AAF9A-3121-4C7A-A57A-C0F51B8E5197} - System32\Tasks\TVInstallRestore => C:\Users\Simonyan\AppData\Local\Temp\TeamViewer\update.exe [2017-04-06] (TeamViewer) <==== ATTENTION
  Task: {79561BDC-C8D4-4543-9CB0-E33EA7FB03CD} - \nethost task -> No File <==== ATTENTION
  CMD: netsh winsock reset
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

[DenisVortman]

пофиксил

Fixlog.txt

[SQ]

Пробуйте создать запрос на расшифровку: https://forum.kasperskyclub.ru/index.php?showtopic=48525

P.S. Тех. поддержка может запросить наличие лицензий на продукты Лаборатории Касперского.

[DenisVortman]

спасибо.