Зашифрованы файлы CRYPTED000007

21 июня, 2017

Добрый день. Теща словила вирус, достаточно давно, и теперь у нее большая часть пользовательских фалов(фото, видео и т.д.) в зашифрованном виде. При каких обстоятельствах это сделано, к сожалению, не знаю. Доступ и сканирование инфицированного ПК производится через TeamViewer.

Прошу помощи.

CollectionLog-2017.06.21-21.26.zip

Изменено 21 июня, 2017 пользователем ejsamogon

21 июня, 2017

Здравствуйте!

1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

2)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Documents and Settings\User\Application Data\ygmdrm.exe', '');
 DeleteFile('C:\Documents and Settings\User\Application Data\ygmdrm.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'RDReminder');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'SystweakASP');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'TUPPRDReminder');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'iLivid');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteRepair(10);
 ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

3)

Any Send Packages [2013/07/02 15:05:53]-->C:\Documents and Settings\User\Application Data\Any Send Packages\uninstaller.exe /Uninstall /NM="Any Send Packages" /AN="" /MBN="Any Send Packages"
Google Toolbar for Internet Explorer [20100327]-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
Google Toolbar for Internet Explorer [2015/12/22 18:50:07]-->"C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarManager_A6282D74FF5C38C8.exe" /uninstall
Google Update Helper [20141117]-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Update Helper [20170428]-->MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}
McAfee Security Scan Plus [2016/06/28 11:46:51]-->"C:\Program Files\McAfee Security Scan\uninstall.exe"
Orbitum [20141201]-->"C:\Documents and Settings\User\Local Settings\Application Data\Orbitum\Application\38.0.2125.109\Installer\setup.exe" --uninstall
WinZip 20.5 [20170524]-->MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C24106}
Амиго [20150102]-->"C:\Documents and Settings\User\Local Settings\Application Data\Amigo\Application\47.5.2526.115\Installer\setup.exe" --uninstall
Менеджер браузеров [2016/08/04 19:25:12]-->"C:\Documents and Settings\User\Local Settings\Application Data\Package Cache\{a4e708c3-efaf-49b0-aa5a-394305338e7b}\BrowserManagerInstaller.exe"  /uninstall
Менеджер браузеров [20160804]-->MsiExec.exe /X{691BB354-E7AF-4447-ADE2-549A86613965}
Служба автоматического обновления программ [2017/01/14 19:58:07]-->C:\Documents and Settings\User\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe uninstall
Яндекс.Бар 4.3 для Internet Explorer (uTorrent) [20110323]-->MsiExec.exe /X{093E45A5-8AC4-4FF5-B4A6-A8811F755067}
Яндекс.Бар для Internet Explorer 4.1.0 [20151213]-->"C:\Program Files\Yandex\YandexBarIE\unins000.exe"

Советую деинсталировать.

5) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

6) Программы/расширения от Mail.ru используете?

28 июня, 2017

1.https://virusinfo.info/virusdetector/report.php?md5=25199F0CCFC1FEFBF87EFEE03478851B

2. Re: quarantine.zip [KLAN-6461347728]

Ваше письмо не содержит ни одного файла. Возможно, антивирус на почтовом сервере удалил ваш файл как инфицированный. Если вы нам посылали файл, пожалуйста, отправьте его снова в архиве с паролем "infected" (без кавычек). Вы также можете загрузить файлы на любой популярный файловый хостинг или FTP-сервер.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

3. Да, от mail.ru используются приложения, например Amigo.

CollectionLog-2017.06.28-21.43.zip

Изменено 28 июня, 2017 пользователем ejsamogon

28 июня, 2017

1) Сразу скажу, что с расшифровкой не поможем. Только адварь и мусор почистим.

2) "Пофиксите" в HijackThis:

R0 - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ask.com/?o=APN10645A&gct=hp&d=406-394&v=n14976-565&t=4
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O4 - HKU\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil32_15_0_0_246_ActiveX.exe -update activex (file missing)
O8 - Extra context menu item: Поиск@Mail.Ru - c:\program files\mail.ru\sputnik\MailRuSputnik.dll (file missing)
O8 - Extra context menu item: Скачать с Mipony - C:\Program Files\MiPony\Browser\IEContext.htm (file missing)
O8 - Extra context menu item: Словари@Mail.Ru - c:\program files\mail.ru\sputnik\MailRuSputnik.dll (file missing)
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - (no file)
O24 - Desktop Component 0: (no name) - http://medspravochka.ru/images/spravki/027.jpg

3) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Изменено 28 июня, 2017 пользователем regist

Зашифрованы файлы CRYPTED000007

Рекомендуемые сообщения

ejsamogon

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

ejsamogon

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum