Зашифровали файлы в *.crypted000007

[Борис Немытых]

Вaши файлы были зашифрoвaны.

Чтобы pасшифpовать иx, Baм нeoбxoдuмо omправumь кoд:

3CC205228EF461A99E96|0

на элеkmронный адpec VladimirScherbinin1991@gmail.com .

Далеe вы пoлyчuте всe неoбxoдuмыe uнсmpуkцuи.

Пonыmkи раcшифрoвamь caмoсmoятельно не пpuвeдyт нu k чемy, kpомe безвозвpaтной nоmеpи информацuu.

Ecли вы вcё же xomuте nоnытаmьcя, то предвapuтельно сдeлайme резервные konиu файлов, uначе в cлучае

ux изменeнuя pаcшuфрoвkа станem нeвoзможнoй нu при kakих условuяx.

Если вы не noлучилu оmвета nо вышeyказaнному aдресу в mеченue 48 чаcoв (и тoлькo в эmом слyчae!),

вoсnользуйтеcь формoй oбрaтной связu. Эmo можно cдeлать двyмя cпосoбами:

1) Cкaчaйте u уcmaновume Tor Browser пo cсылke: https://www.torproject.org/download/download-easy.html.en

В адpeснoй cmрoке Tor Browser-а введume aдреc:

http://cryptsen7fo43rr6.onion/

и нaжмuте Enter. Зarpузится страницa с фoрмой oбpаmной cвязu.

2) В любoм браузeре пepeйдитe nо одномy из адpeсов:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

Могу прислать зашифрованный файл и его оригинал до зашифровки, но размер файлов по 30 мбайт каждый. 

README1-10.rar

CollectionLog-2017.08.14-09.31.zip

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gytdhghjbr', 'command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

HitmanPro 3.7 - деинсталируйте.

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

PS. С расшировкой помочь не сможем, только дочистить остатки вирусов.

[Борис Немытых]

ClearLNK результат

KLAN-6656018239

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
mail_ru_attachments.htm

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

ClearLNK-14.08.2017_10-26.log

[regist]

жду остальное.

[Борис Немытых]

повторный лог по рекомендации

CollectionLog-2017.08.14-10.37.zip

[regist]

"Пофиксите" в HijackThis:

R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - (no name) - (no URL)

O4 - MSConfig\startupreg: [app-helper1] C:\Program Files\Application Assistance\app-helper1.exe (file missing) (HKLM) (2015/08/31)

O4 - MSConfig\startupreg: [app-helper] C:\Program Files\Application Assistance\app-helper.exe (file missing) (HKLM) (2015/08/31)

O4 - MSConfig\startupreg: [gytdhghjbr] (no file)  (HKCU) (2016/05/18)

O22 - Task (Ready): Uninstaller_SkipUac_ТСЖ_Квадрат - C:\Program Files\IObit\IObit Uninstaller\IObitUninstaler.exe /UninstallExplorer (file missing)

1. Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
2. • Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
   • Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)
     

  [*]Введите sfc /scannow и нажмите Энтер. [*]Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка. [*]После того как закончится проверка в командной строке введите команду:

findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt

[*]После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.

 

+

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ClearQuarantine;
 QuarantineFile('C:\Users\ТСЖ Квадрат\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FinePrint\Просмотреть файлы FinePrint.lnk', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

[Борис Немытых]

Следующие действия

sfcdetails.txt

Изменено 17 августа, 2017 пользователем regist
удалил карантин

[regist]

Карантин прикреплять к сообщению запрещено, надо было послать на почту как вас просили, но в данном случае он у вас был пустой.

 

Можете заархивировать папку

C:\Users\ТСЖ Квадрат\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FinePrint\

и прикрепить этот архив к сообщению?

 

 

 

sfcdetails.txt

как и предполагал была куча повреждённых системных файлов, но судя по логу все успешно восстановлены.

 

+

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Борис Немытых]

Что дальше?

Addition.txt

FRST.txt

Shortcut.txt

FinePrint.rar

[regist]

1) hitmanpro - удалите.

 

2)

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKLM\...\Run: [] => [X]
  HKU\S-1-5-21-3496114336-2745801413-1540753811-1002\...\MountPoints2: {004d4a1b-ac8c-11e2-905f-20cf30ee9501} - F:\Install.exe
  HKU\S-1-5-21-3496114336-2745801413-1540753811-1002\...\MountPoints2: {53a0774e-795a-11e4-a560-806e6f6e6963} - E:\start.exe
  HKU\S-1-5-21-3496114336-2745801413-1540753811-1002\...\MountPoints2: {7b267aed-f3ee-11e0-aaf8-20cf30ee9501} - G:\DriverPackSolution.exe
  HKU\S-1-5-21-3496114336-2745801413-1540753811-1002\...\MountPoints2: {d2345f4f-dc4f-11e1-9692-806e6f6e6963} - H:\Install.exe
  HKU\S-1-5-21-3496114336-2745801413-1540753811-1002\...\MountPoints2: {d2345f63-dc4f-11e1-9692-20cf30ee9501} - H:\Install.exe
  HKU\S-1-5-21-3496114336-2745801413-1540753811-1002\...\MountPoints2: {f5865195-68f6-11e2-9011-20cf30ee9501} - K:\SISetup.exe
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  URLSearchHook: [S-1-5-21-3496114336-2745801413-1540753811-1002] ATTENTION => Default URLSearchHook is missing
  2017-08-11 15:27 - 2016-11-15 14:06 - 000000000 ____D C:\ProgramData\ProductData
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

3) В свойствах ярлыка

C:\Users\ТСЖ Квадрат\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FinePrint\Просмотреть файлы FinePrint.lnk

поменяйте вручную в поле Объект на

C:\Users\ТСЖ Квадрат\Documents\FinePrint Files

[Борис Немытых]

Что дальше

Fixlog.txt

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.