Перейти к содержанию

Зашифрованы файлы CRYPTED000007


Рекомендуемые сообщения

Добрый день. Теща словила вирус, достаточно давно, и теперь у нее большая часть пользовательских фалов(фото, видео и т.д.) в зашифрованном виде. При каких обстоятельствах это сделано, к сожалению, не знаю. Доступ и сканирование инфицированного ПК производится через TeamViewer.

 

thumb.png

 

Прошу помощи.

CollectionLog-2017.06.21-21.26.zip

Изменено пользователем ejsamogon
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

1)   - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

2)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Documents and Settings\User\Application Data\ygmdrm.exe', '');
 DeleteFile('C:\Documents and Settings\User\Application Data\ygmdrm.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'RDReminder');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'SystweakASP');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'TUPPRDReminder');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'iLivid');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteRepair(10);
 ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
3)
Any Send Packages [2013/07/02 15:05:53]-->C:\Documents and Settings\User\Application Data\Any Send Packages\uninstaller.exe /Uninstall /NM="Any Send Packages" /AN="" /MBN="Any Send Packages"
Google Toolbar for Internet Explorer [20100327]-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
Google Toolbar for Internet Explorer [2015/12/22 18:50:07]-->"C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarManager_A6282D74FF5C38C8.exe" /uninstall
Google Update Helper [20141117]-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Update Helper [20170428]-->MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}
McAfee Security Scan Plus [2016/06/28 11:46:51]-->"C:\Program Files\McAfee Security Scan\uninstall.exe"
Orbitum [20141201]-->"C:\Documents and Settings\User\Local Settings\Application Data\Orbitum\Application\38.0.2125.109\Installer\setup.exe" --uninstall
WinZip 20.5 [20170524]-->MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C24106}
Амиго [20150102]-->"C:\Documents and Settings\User\Local Settings\Application Data\Amigo\Application\47.5.2526.115\Installer\setup.exe" --uninstall
Менеджер браузеров [2016/08/04 19:25:12]-->"C:\Documents and Settings\User\Local Settings\Application Data\Package Cache\{a4e708c3-efaf-49b0-aa5a-394305338e7b}\BrowserManagerInstaller.exe"  /uninstall
Менеджер браузеров [20160804]-->MsiExec.exe /X{691BB354-E7AF-4447-ADE2-549A86613965}
Служба автоматического обновления программ [2017/01/14 19:58:07]-->C:\Documents and Settings\User\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe uninstall
Яндекс.Бар 4.3 для Internet Explorer (uTorrent) [20110323]-->MsiExec.exe /X{093E45A5-8AC4-4FF5-B4A6-A8811F755067}
Яндекс.Бар для Internet Explorer 4.1.0 [20151213]-->"C:\Program Files\Yandex\YandexBarIE\unins000.exe"

Советую деинсталировать.

 

5) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

6) Программы/расширения от Mail.ru используете?

Ссылка на комментарий
Поделиться на другие сайты

1.https://virusinfo.info/virusdetector/report.php?md5=25199F0CCFC1FEFBF87EFEE03478851B

2. Re: quarantine.zip [KLAN-6461347728]

Ваше письмо не содержит ни одного файла. Возможно, антивирус на почтовом сервере удалил ваш файл как инфицированный. Если вы нам посылали файл, пожалуйста, отправьте его снова в архиве с паролем "infected" (без кавычек). Вы также можете загрузить файлы на любой популярный файловый хостинг или FTP-сервер.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

 

 

3. Да, от mail.ru используются приложения, например Amigo.

CollectionLog-2017.06.28-21.43.zip

Изменено пользователем ejsamogon
Ссылка на комментарий
Поделиться на другие сайты

1) Сразу скажу, что с расшифровкой не поможем. Только адварь и мусор почистим.

 

2) "Пофиксите" в HijackThis:

R0 - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ask.com/?o=APN10645A&gct=hp&d=406-394&v=n14976-565&t=4
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O4 - HKU\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil32_15_0_0_246_ActiveX.exe -update activex (file missing)
O8 - Extra context menu item: Поиск@Mail.Ru - c:\program files\mail.ru\sputnik\MailRuSputnik.dll (file missing)
O8 - Extra context menu item: Скачать с Mipony - C:\Program Files\MiPony\Browser\IEContext.htm (file missing)
O8 - Extra context menu item: Словари@Mail.Ru - c:\program files\mail.ru\sputnik\MailRuSputnik.dll (file missing)
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - (no file)
O24 - Desktop Component 0: (no name) - http://medspravochka.ru/images/spravki/027.jpg

3) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • dmzhrv
      От dmzhrv
      Добрый день!
       
      Поймали шифровальщик через письмо.
      Файлов важных на компьютере не было, по этому снесли все и работаем дальше.
      Но вот на компьютере где все произошло, была подключена шара как сетевой диск, естественно куда хватило прав под пользователем, все зашифровано.
       
      Понимаю что утилиты для расшифровки нету, но есть некоторые успехи.
       
      Значит что имею на данный момент:
       
      Есть зашифрованный файл, есть оригинал.
      Путем долгих потуг было выяснено различие в 389 байт в конце файла.
       
      Убираем эти 389 байт, скармливаем файл в KasperskyRannoh decryptor tool 1.12.4.13 и вуаля, получаем расшифрованный файл.
      Но есть одно но, имя файла не меняется, расширение тоже не возвращается. Руками дописываем .doc, открываем. Все нормально.
       
       
      Есть у кого какие идеи на счет того как автоматизировать процесс расшифровки?
       
      Лог дешифратора и сами файлы прилагаю.
       
      Второй файл, с 389 байтами не расшифровывает.
       
      лог дешифратора:
       
       
       
      Заявление на мат. помощь.docx
      файлы.zip
    • Дарья Федоровна
      От Дарья Федоровна
      Здравствуйте. 

      Во время составления обращения "правила форума" небыли доступны, прошу прощения если что-то было неверно сделано.

      1) Провела проверку ПК, воспользовавшись Kaspersky Virus Removal Tool 2015. На момент создания запроса на форум вирусов найдено не было.
      2)  После запуска AutoLogger.exe был сформирован файл "CollectionLog-2020.06.16-21.08". 
      3) На ПК в 2018г были зашифрованы файлы. Шифровальщик был запущен после скачивания и открытия файла из письма.
      4) Пробовала самостоятельно воспользоваться сайтом www.nomoreransom.org, на сегодняшнее число после загрузки и заполнении анкеты для подбора дешифровщика происходит сбой (файлы выбираю на 160-124 кб), на экране появляется ответ сайта не существует. С файлом RannohDecryptor.exe не идет работа выходит ошибка файлы разного размера. Не могу сказать с уверенностью подбираю ли верно файлы, ориентируюсь по кб. 
      CollectionLog-2020.06.16-21.08.zip
    • Дэн Бегемотов
      От Дэн Бегемотов
      Здравствуйте! Помогите, пожалуйста, расшифровать файлы
    • LSidex
      От LSidex
      Нужна помощь в расшифровке файлов.
      На одном форуме нашел, что можно написать сюда , да и глядишь подскажут, куда дальше двигаться.
    • an_mvv
      От an_mvv
      Помогите, пожалуйста!
      Шифровальщик crypted000007.
      Зараженные и оригинальные файлы имеют разный размер.
      Зараженные файлы вида:
      jocdiY+amu4D4aHQgjZaz2meVodXJnB56wymyyxNDwA=.8AF64 57B2705B0EBB9FA.crypted000007
      В архиве csrss!.zip сам вирус.
      лежал здесь c:\ProgramData\Windows\csrss.exe
      такой же файл с именем 2c[1].jpg находился во временных файлах IE
      CollectionLog-2019.11.28-08.11.zip
      csrss!.zip
×
×
  • Создать...