Шифровальщик .crypted000007

11 мая, 2017

Здравствуйте, поймали шифровальщик crypted000007, пришел в письме. Письмо удалили. Проверил Kaspersky Virus Removal Tool 2015.

Помогите пожалуйста.

CollectionLog-2017.05.11-11.49.zip

11 мая, 2017

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ExecuteRepair(14);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

11 мая, 2017

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Simonyan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Internet Ехрlоrеr Вrоwser.lnk', '');
 QuarantineFile('C:\Users\Simonyan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', '');
 QuarantineFile('C:\Users\Simonyan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk', '');
 QuarantineFile('C:\Users\Simonyan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Simonyan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 QuarantineFile('C:\Users\Simonyan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Simonyan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 AutoFixSPI;
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Программы/расширения от Mail.ru используете?

11 мая, 2017

Все сделал, прикрепил логи. маил не используется.

Addition.txt

FRST.txt

Check_Browsers_LNK.log

ClearLNK-11.05.2017_12-45.log

CollectionLog-2017.05.11-12.53.zip

11 мая, 2017

Скачайте AdwCleaner и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
Прикрепите отчет к своему следующему сообщению.

+

Java(TM) 6 Update 45 [20140220]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216045FF}
McAfee Security Scan Plus [2017/05/04 08:41:08]-->"C:\Program Files\McAfee Security Scan\uninstall.exe"

деинсталируйте.

+

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 AutoFixSPI;
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено 11 мая, 2017 пользователем regist

11 мая, 2017

добавил логи

все программы удалил

AdwCleanerS0.txt

CollectionLog-2017.05.11-13.32.zip

11 мая, 2017

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

11 мая, 2017

Все удалил.

AdwCleanerS1.txt

AdwCleanerC0.txt

11 мая, 2017

Приложите новые логи утилиты FRST (FRST.txt и Addition.txt)

11 мая, 2017

добавил.

Addition.txt

FRST.txt

11 мая, 2017

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-584489794-163255153-308734819-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Winsock: Catalog5-x64 07 C:\Program Files\Bonjour\mdnsNSP.dll => No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
S2 NTService1; "C:\Program Files (x86)\Jads\Jads\InjectorServiceProject.exe" [X]
S2 VersionUpdService; "C:\Program Files (x86)\Jads\Jads\VersionUpdaterService.exe" [X]
2017-05-11 08:43 - 2017-05-11 10:18 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-05-11 08:43 - 2017-05-11 10:18 - 00000000 __SHD C:\ProgramData\Windows
Folder: C:\ProgramData\firebird
Folder: C:\Program Files (x86)\gnivc
Folder: C:\Program Files (x86)\Jads
2016-06-15 10:39 - 2016-06-01 18:14 - 2187992 _____ (Mail.Ru) C:\Users\Simonyan\AppData\Local\Temp\6527-7398-a726-5d1c.exe
2015-01-18 19:00 - 2015-01-18 19:02 - 50381352 _____ (LLC Mail.Ru) C:\Users\Simonyan\AppData\Local\Temp\AmigoDistrib.exe
2015-09-09 22:50 - 2015-09-09 22:52 - 46846184 _____ (Mail.Ru) C:\Users\Simonyan\AppData\Local\Temp\amigo_setup.exe
2015-06-02 20:48 - 2015-06-02 20:48 - 3953384 ____N () C:\Users\Simonyan\AppData\Local\Temp\hFNHlQ465C12.exe
2015-01-18 19:00 - 2015-01-18 19:01 - 11061992 _____ () C:\Users\Simonyan\AppData\Local\Temp\mailruhomesearchvbm.exe
2015-01-18 19:02 - 2014-12-25 20:39 - 7156456 ____N (Mail.Ru) C:\Users\Simonyan\AppData\Local\Temp\MailRuUpdater.exe
2016-09-05 13:51 - 2017-04-14 21:21 - 4127960 _____ (Mail.Ru) C:\Users\Simonyan\AppData\Local\Temp\mrutmp.exe
2016-11-29 16:15 - 2017-02-27 17:52 - 0239104 ____N () C:\Users\Simonyan\AppData\Local\Temp\rn32.dll
2015-01-18 19:09 - 2015-01-18 19:09 - 0008704 _____ (Microsoft Corporation) C:\Users\Simonyan\AppData\Local\Temp\SpOrder.dll
2014-02-20 00:37 - 2013-02-04 15:29 - 0116694 _____ () C:\Users\Simonyan\AppData\Local\Temp\Uninstall.exe
Task: {5F3AAF9A-3121-4C7A-A57A-C0F51B8E5197} - System32\Tasks\TVInstallRestore => C:\Users\Simonyan\AppData\Local\Temp\TeamViewer\update.exe [2017-04-06] (TeamViewer) <==== ATTENTION
Task: {79561BDC-C8D4-4543-9CB0-E33EA7FB03CD} - \nethost task -> No File <==== ATTENTION
CMD: netsh winsock reset
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

11 мая, 2017

пофиксил

Fixlog.txt

11 мая, 2017

Пробуйте создать запрос на расшифровку: https://forum.kasperskyclub.ru/index.php?showtopic=48525

P.S. Тех. поддержка может запросить наличие лицензий на продукты Лаборатории Касперского.

11 мая, 2017

спасибо.

Шифровальщик .crypted000007

Рекомендуемые сообщения

DenisVortman

SQ

regist

DenisVortman

regist

DenisVortman

SQ

DenisVortman

SQ

DenisVortman

SQ

DenisVortman

SQ

DenisVortman

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum