Все файлы зашифрованы cryted000007

[Илья Баженов]

Помогите пожалуйста. У меня такая же проблема,как у автора темы.

 

Сообщение от модератора Mark D. Pearlsone

Перемещено из темы

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Илья Баженов]

Здраствуйте! На эл. почту пришло письмо о задолженности, после вскрытия все файлы зашифровались. Помогите расшифровать пожалуйста. Текст письма:

Вaши фaйлы были зашuфpованы.

Чmобы рacшuфpoвaть uх, Вaм нeобходuмo оmnpaвumь kод:

697FB858BC2C69CB891A|0

нa элekmpoнный адрес gervasiy.menyaev@gmail.com .

Дaлeе вы пoлучите вce неoбходuмыe uнсmpукциu.

Попытku рacшuфpoвamь caмостояmельно не пpuведym нu k чeму, кpoмe бeзвoзвратной пomерu uнформaции.

Еcли вы вcё жe хomuтe попыmaтьcя, тo npедварuтельнo cделaйme peзервные konиu файлoв, иначе в случaе

uх uзменeния расшифpовкa cmанет невoзмoжнoй нu при кakux уcловияx.

Еслu вы нe noлyчuлu отвеma nо вышеykазaнномy адреcу в meчeниe 48 чaсoв (u mольkо в эmом cлучae!),

вoсnользуйтecь фopмoй oбрamнoй cвязи. Это мoжнo сдeлaть двyмя cnoсoбами:

1) Скачайme и устанoвиmе Tor Browser no ccылke: https://www.torproject.org/download/download-easy.html.en

B адpecной сmрoke Tor Browser-а введuте адрес:

http://cryptsen7fo43rr6.onion/

и нажмитe Enter. 3аrрузumся сmpaницa с фoрмой обpаmной связu.

2) B любом бpayзерe nepeйдumе пo oднoмy uз aдpеcов:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены

[Mark D. Pearlstone]

@Илья Баженов, прочтите второе сообщение темы.

[Илья Баженов]

Logfile of Trend Micro HijackThis v2.0.5

Scan saved at 21:36:44, on 13.06.2017

Platform: Windows 7 SP1 (WinNT 6.00.3505)

MSIE: Internet Explorer v8.00 (8.00.7601.17514)

 

 

Boot mode: Normal

 

Running processes:

C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe

C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe

C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe

C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe

C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe

C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe

C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe

C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe

C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe

C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe

C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe

C:\Users\1\Desktop\HijackThis.exe

C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe

C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe

C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe

C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe

C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe

C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe

C:\Windows\SysWOW64\DllHost.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://yandex.ru/?clid=2101081

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://yandex.ru/search/?text={searchTerms}&clid=2101082

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = https://yandex.ru/?clid=2101081

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://yandex.ru/search/?text={searchTerms}&clid=2101082

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://yandex.ru/?clid=2101081

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

F2 - REG:system.ini: UserInit=userinit.exe,

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.8.0_111\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre1.8.0_111\bin\jp2ssv.dll

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')

O23 - Service: Autodesk Application Manager Service (AdAppMgrSvc) - Autodesk Inc. - C:\Program Files (x86)\Common Files\Autodesk Shared\AppManager\R1\AdAppMgrSvc.exe

O23 - Service: AfterFLICS v3 - Unknown owner - C:\Program Files (x86)\AFLICS\AfterFLICS.exe

O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)

O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)

O23 - Service: FlexNet Licensing Service 64 - Flexera Software LLC - C:\Program Files\Common Files\Macrovision Shared\FlexNet Publisher\FNPLicensingService64.exe

O23 - Service: NVIDIA GeForce Experience Service (GfExperienceService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe

O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: Malwarebytes Service (MBAMService) - Malwarebytes - C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe

O23 - Service: mental ray Satellite for Autodesk 3ds Max 2016 64-bit (mi-raysat_3dsmax2016_64) - Unknown owner - C:\Program Files\Autodesk\3ds Max 2016\NVIDIA\Satellite\raysat_3dsmax2016_64server.exe

O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)

O23 - Service: NVIDIA Network Service (NvNetworkService) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe

O23 - Service: NVIDIA Streamer Network Service (NvStreamNetworkSvc) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamNetworkService.exe

O23 - Service: NVIDIA Streamer Service (NvStreamSvc) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamService.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)

O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)

O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)

O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)

O23 - Service: SAMSUNG Mobile Connectivity Service (ss_conn_service) - DEVGURU Co., LTD. - C:\Program Files (x86)\Samsung\USB Drivers\27_ssconn\conn\ss_conn_service.exe

O23 - Service: SW Update Service (SWUpdateService) - Samsung Electronics Co., Ltd. - C:\ProgramData\Samsung\SW Update Service\SWMAgent.exe

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)

O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)

O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

O23 - Service: Yandex.Browser Update Service (YandexBrowserService) - YANDEX LLC - C:\Program Files (x86)\Yandex\YandexBrowser\17.4.1.919\service_update.exe

 

--

End of file - 7083 bytes

hijackthis.log

Изменено 13 июня, 2017 пользователем Илья Баженов

[Mark D. Pearlstone]

@Илья Баженов, ещё раз, прочтите, что требуется по ссылке во втором сообщении. Выложите CollectionLog-yyyy.mm.dd-hh.mm.zip

[Илья Баженов]

@Илья Баженов, прочтите второе сообщение темы.

 

@Илья Баженов, ещё раз, прочтите, что требуется по ссылке во втором сообщении. Выложите CollectionLog-yyyy.mm.dd-hh.mm.zip

Я не могу его

найти. Все обыскал.

[Mark D. Pearlstone]

@Илья Баженов, ничего искать не нужно. По ссылке указано, что делать и где нужное находится. Читайте и выполняйте внимательно.

[Илья Баженов]

@Илья Баженов, ничего искать не нужно. По ссылке указано, что делать и где нужное находится. Читайте и выполняйте внимательно.

CollectionLog-2017.06.13-22.52.zip

[regist]

Здравствуйте!

 

1) Удалите остатки Аваста,

Скачайте утилиту [b][url=http://files.avast.com/files/eng/aswclear.exe]aswclear.exe[/url][/b] и сохраните ее на Вашем [i]Рабочем столе[/i];
Перезагрузите компьютер [url=http://safezone.cc/forum/showthread.php?t=19645]в безопасном режиме[/url];
Запустите утилиту на выполнение;
Если продукт avast! был установлен не в папку по умолчанию, укажите путь к ней. ([b]Внимание[/b]: Содержимое данной папки будет [b]полностью удалено[/b]!)
Нажмите [b]REMOVE[/b]
Перезагрузите компьютер в нормальный режим

2) Установите себе антивирус.

 

3)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\1\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\1\Favorites\Links\Интернет.url', '');
 DeleteFile('C:\Users\1\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk');
 DeleteFile('C:\Users\1\Favorites\Links\Интернет.url');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

4) "Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: [Akamai NetSession Interface] C:\Users\1\AppData\Local\Akamai\netsession_win.exe  (file missing) (HKCU) (2016/12/10)
O4 - MSConfig\startupreg: [DivXMediaServer] C:\Program Files (x86)\DivX\DivX Media Server\DivXMediaServer.exe (file missing) (HKLM) (2017/05/27)
O4 - MSConfig\startupreg: [GameCenterMailRu] C:\Users\1\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe -autostart (file missing) (HKCU) (2016/12/09)
O4 - MSConfig\startupreg: [PBot] C:\Users\1\AppData\Roaming\PBot\python\pythonw.exe "C:\Users\1\AppData\Roaming\PBot\launchall.py" (HKCU) (2016/12/09)
O21 - ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

 

5)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

[Илья Баженов]

Здравствуйте!

 

1) Удалите остатки Аваста,

Скачайте утилиту [b][url=http://files.avast.com/files/eng/aswclear.exe]aswclear.exe[/url][/b] и сохраните ее на Вашем [i]Рабочем столе[/i];
Перезагрузите компьютер [url=http://safezone.cc/forum/showthread.php?t=19645]в безопасном режиме[/url];
Запустите утилиту на выполнение;
Если продукт avast! был установлен не в папку по умолчанию, укажите путь к ней. ([b]Внимание[/b]: Содержимое данной папки будет [b]полностью удалено[/b]!)
Нажмите [b]REMOVE[/b]
Перезагрузите компьютер в нормальный режим

2) Установите себе антивирус.

 

3)

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\1\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\1\Favorites\Links\Интернет.url', '');
 DeleteFile('C:\Users\1\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk');
 DeleteFile('C:\Users\1\Favorites\Links\Интернет.url');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

4) "Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: [Akamai NetSession Interface] C:\Users\1\AppData\Local\Akamai\netsession_win.exe  (file missing) (HKCU) (2016/12/10)
O4 - MSConfig\startupreg: [DivXMediaServer] C:\Program Files (x86)\DivX\DivX Media Server\DivXMediaServer.exe (file missing) (HKLM) (2017/05/27)
O4 - MSConfig\startupreg: [GameCenterMailRu] C:\Users\1\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe -autostart (file missing) (HKCU) (2016/12/09)
O4 - MSConfig\startupreg: [PBot] C:\Users\1\AppData\Roaming\PBot\python\pythonw.exe "C:\Users\1\AppData\Roaming\PBot\launchall.py" (HKCU) (2016/12/09)
O21 - ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

5)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 Здравствуйте!  KLAN-6402048167

 

 

AdwCleanerS0.txt

Изменено 13 июня, 2017 пользователем Илья Баженов

[regist]

Программы от Mail.ru используете?

 

И не надо заниматься оверквотингом, внизу есть поле для быстрого ответа.

[Илья Баженов]

Только почту

[regist]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[Илья Баженов]

Добрый день!

AdwCleanerC2.txt