Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Шифровальщик .crypted000007

DenisVortman
 Поделиться

Рекомендуемые сообщения

DenisVortman

DenisVortman

Опубликовано
Опубликовано

Здравствуйте, поймали шифровальщик crypted000007, пришел в письме. Письмо удалили. Проверил Kaspersky Virus Removal Tool 2015. 

Помогите пожалуйста.

CollectionLog-2017.05.11-11.49.zip

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ExecuteRepair(14);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
regist

regist

Опубликовано
Опубликовано

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Simonyan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Internet Ехрlоrеr Вrоwser.lnk', '');
 QuarantineFile('C:\Users\Simonyan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', '');
 QuarantineFile('C:\Users\Simonyan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk', '');
 QuarantineFile('C:\Users\Simonyan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Simonyan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 QuarantineFile('C:\Users\Simonyan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Simonyan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 AutoFixSPI;
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

Программы/расширения от Mail.ru используете?
 

regist

regist

Опубликовано
Опубликовано (изменено)

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.

 

+

Java(TM) 6 Update 45 [20140220]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216045FF}
McAfee Security Scan Plus [2017/05/04 08:41:08]-->"C:\Program Files\McAfee Security Scan\uninstall.exe"

деинсталируйте.

 

+

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 AutoFixSPI;
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено пользователем regist
SQ

SQ

Опубликовано
Опубликовано

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

SQ

SQ

Опубликовано
Опубликовано

Приложите новые логи утилиты FRST (FRST.txt и Addition.txt)

SQ

SQ

Опубликовано
Опубликовано

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-584489794-163255153-308734819-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Winsock: Catalog5-x64 07 C:\Program Files\Bonjour\mdnsNSP.dll => No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
S2 NTService1; "C:\Program Files (x86)\Jads\Jads\InjectorServiceProject.exe" [X]
S2 VersionUpdService; "C:\Program Files (x86)\Jads\Jads\VersionUpdaterService.exe" [X]
2017-05-11 08:43 - 2017-05-11 10:18 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-05-11 08:43 - 2017-05-11 10:18 - 00000000 __SHD C:\ProgramData\Windows
Folder: C:\ProgramData\firebird
Folder: C:\Program Files (x86)\gnivc
Folder: C:\Program Files (x86)\Jads
2016-06-15 10:39 - 2016-06-01 18:14 - 2187992 _____ (Mail.Ru) C:\Users\Simonyan\AppData\Local\Temp\6527-7398-a726-5d1c.exe
2015-01-18 19:00 - 2015-01-18 19:02 - 50381352 _____ (LLC Mail.Ru) C:\Users\Simonyan\AppData\Local\Temp\AmigoDistrib.exe
2015-09-09 22:50 - 2015-09-09 22:52 - 46846184 _____ (Mail.Ru) C:\Users\Simonyan\AppData\Local\Temp\amigo_setup.exe
2015-06-02 20:48 - 2015-06-02 20:48 - 3953384 ____N () C:\Users\Simonyan\AppData\Local\Temp\hFNHlQ465C12.exe
2015-01-18 19:00 - 2015-01-18 19:01 - 11061992 _____ () C:\Users\Simonyan\AppData\Local\Temp\mailruhomesearchvbm.exe
2015-01-18 19:02 - 2014-12-25 20:39 - 7156456 ____N (Mail.Ru) C:\Users\Simonyan\AppData\Local\Temp\MailRuUpdater.exe
2016-09-05 13:51 - 2017-04-14 21:21 - 4127960 _____ (Mail.Ru) C:\Users\Simonyan\AppData\Local\Temp\mrutmp.exe
2016-11-29 16:15 - 2017-02-27 17:52 - 0239104 ____N () C:\Users\Simonyan\AppData\Local\Temp\rn32.dll
2015-01-18 19:09 - 2015-01-18 19:09 - 0008704 _____ (Microsoft Corporation) C:\Users\Simonyan\AppData\Local\Temp\SpOrder.dll
2014-02-20 00:37 - 2013-02-04 15:29 - 0116694 _____ () C:\Users\Simonyan\AppData\Local\Temp\Uninstall.exe
Task: {5F3AAF9A-3121-4C7A-A57A-C0F51B8E5197} - System32\Tasks\TVInstallRestore => C:\Users\Simonyan\AppData\Local\Temp\TeamViewer\update.exe [2017-04-06] (TeamViewer) <==== ATTENTION
Task: {79561BDC-C8D4-4543-9CB0-E33EA7FB03CD} - \nethost task -> No File <==== ATTENTION
CMD: netsh winsock reset
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Lord2454
      Шифровальщик enkacrypt
      Автор Lord2454
      Добрый день.
      Прошу помочь.
       
      Файлы FRST:
      Addition.txtFRST.txt  
       
      Архив с зашифрованными файлами (пароль virus). Сообщение от вымогателей там же.
      Decrypt_enkacrypt.rar
    • ИТ45
      Trojan.Encoder.35209
      Автор ИТ45
      Добрый день! Просим помощи у кого есть дешифратор
    • Дарья Федоровна
      Дешифровка файлов crypted000007
      Автор Дарья Федоровна
      Здравствуйте. 

      Во время составления обращения "правила форума" небыли доступны, прошу прощения если что-то было неверно сделано.

      1) Провела проверку ПК, воспользовавшись Kaspersky Virus Removal Tool 2015. На момент создания запроса на форум вирусов найдено не было.
      2)  После запуска AutoLogger.exe был сформирован файл "CollectionLog-2020.06.16-21.08". 
      3) На ПК в 2018г были зашифрованы файлы. Шифровальщик был запущен после скачивания и открытия файла из письма.
      4) Пробовала самостоятельно воспользоваться сайтом www.nomoreransom.org, на сегодняшнее число после загрузки и заполнении анкеты для подбора дешифровщика происходит сбой (файлы выбираю на 160-124 кб), на экране появляется ответ сайта не существует. С файлом RannohDecryptor.exe не идет работа выходит ошибка файлы разного размера. Не могу сказать с уверенностью подбираю ли верно файлы, ориентируюсь по кб. 
      CollectionLog-2020.06.16-21.08.zip
    • Дэн Бегемотов
      Расшифровка файлов *.crypted000007
      Автор Дэн Бегемотов
      Здравствуйте! Помогите, пожалуйста, расшифровать файлы
    • Гордей Панчев
      вирус переименовал все файлы на компьютере
      Автор Гордей Панчев
      Директору фирмы на телефон пришло письмо.  Так как там был вложенный файл, то он открыл его с компьютера. Вскоре всё зависло.Сам файл с вирусом куда-то исчез. Не могу приложить. Текстовый файл в котором сообщалось куда перечислять деньги тоже не могут найти. Вобщем там такие пользователи, что лучше ничего не спрашивать.

      Во вложении лог, который создался программой Kaspersky Virus Removal Tool 2015
      На компьютере пока никаких действий не производилось.разве что пробовал восстановить файлы winhex-ом  - не помогло. Хотя некоторые картинки и получилось восстановить, но основные доковские документы остались нечитаемы.
       
      Тип файла после шифрования. "CRYPTED000007" (.crypted000007)
×
×
  • Создать...