Перейти к содержанию

Рекомендуемые сообщения

Олег Почетовский
Опубликовано

Методист открыл письмо с незнакомого адреса. После файлы зашифровались и получили расширение .crypted000007. Помогите в расшифровке файлов. patch21po@yandex.ru Олег.

CollectionLog-2018.01.18-18.41.zip

Опубликовано (изменено)

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 TerminateProcessByName('c:\windows\temp\01f0a069.exe');
 TerminateProcessByName('c:\windows\temp\2d0168a9.exe');
 TerminateProcessByName('c:\windows\temp\ff9143b1.exe');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\SysWOW64\9vmtvoL.cmd', '');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Csrss\csrss.exe', '');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Drivers\csrss.exe', '');
 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe', '');
 QuarantineFile('c:\windows\temp\01f0a069.exe', '');
 QuarantineFile('c:\windows\temp\2d0168a9.exe', '');
 QuarantineFile('c:\windows\temp\ff9143b1.exe', '');
 TerminateProcessByName('c:\docume~1\alluse~1\applic~1\softwa~1\nheqmi~1.exe');
 QuarantineFile('c:\docume~1\alluse~1\applic~1\softwa~1\nheqmi~1.exe','');
 DeleteFile('c:\docume~1\alluse~1\applic~1\softwa~1\nheqmi~1.exe','32');
 QuarantineFileF('c:\documents and settings\all users\application data\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\SysWOW64\9vmtvoL.cmd', '32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Csrss\csrss.exe', '32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Drivers\csrss.exe', '32');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe', '32');
 DeleteFile('c:\windows\temp\01f0a069.exe', '32');
 DeleteFile('c:\windows\temp\2d0168a9.exe', '32');
 DeleteFile('c:\windows\temp\ff9143b1.exe', '32');
 DeleteFileMask('c:\documents and settings\all users\application data\', '*', true);
 DeleteDirectory('c:\documents and settings\all users\application data\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NetworkSubsystem');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:


begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

PS. папку Temp сами переназначили?
 

Изменено пользователем regist
Олег Почетовский
Опубликовано

Вот новые логи и файл карантина


Темп не переносил. Какая-то сборка стоит неофициальная

 

Строгое предупреждение от модератора Mark D. Pearlstone
Внимательно читайте, что вам пишут. Карантин на форум загружать не нужно.

CollectionLog-2018.01.19-16.20.zip

Опубликовано (изменено)

1) Антивирус Касперского 6.0 для Windows Workstations - очень сильно устарел, для него и обновление баз не выпускается уже. От актуальных вирусов он не способен защитить физически, так как там просто нет нужных модулей. Так что обновите антивирус как можно скорее.

 

2)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\documents and settings\all users\application data\csrss\csrss.exe');
 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 QuarantineFile('C:\WINDOWS\system32\logonui.exe', '');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\SysWOW64\9vmtvoL.cmd', '');
 QuarantineFile('c:\documents and settings\all users\application data\csrss\csrss.exe', '');
 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe', '');
 QuarantineFile('c:\windows\temp\teamviewer\teamviewer.exe', '');
 QuarantineFileF('c:\docume~1\alluse~1\applic~1\softwa~1\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\documents and settings\all users\application data\csrss\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\SysWOW64\9vmtvoL.cmd', '32');
 DeleteFile('c:\documents and settings\all users\application data\csrss\csrss.exe', '32');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe', '32');
 DeleteFile('c:\windows\temp\teamviewer\teamviewer.exe', '32');
 DeleteFileMask('c:\documents and settings\all users\application data\csrss\', '*', true);
 DeleteDirectory('c:\documents and settings\all users\application data\csrss\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:


begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
 

"Пофиксите" в HijackThis:

O3 - HKCU\..\Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} - (no file)
O3 - HKU\.DEFAULT\..\Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} - (no file)
O3 - HKU\S-1-5-19\..\Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} - (no file)
O3 - HKU\S-1-5-20\..\Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} - (no file)
O7 - TroubleShoot: [EV] HKCU\..\%TEMP% - C:\WINDOWS\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKCU\..\%TMP% - C:\WINDOWS\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKU\.DEFAULT\..\%TEMP% - C:\WINDOWS\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKU\.DEFAULT\..\%TMP% - C:\WINDOWS\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKU\S-1-5-19\..\%TEMP% - C:\WINDOWS\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKU\S-1-5-19\..\%TMP% - C:\WINDOWS\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKU\S-1-5-20\..\%TEMP% - C:\WINDOWS\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKU\S-1-5-20\..\%TMP% - C:\WINDOWS\Temp (environment value is altered)

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

 

+ Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.
 

Изменено пользователем regist

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Solaris05
    • VLDMaster
      Автор VLDMaster
      Файлы зашифрованы в формате .XTBL. Лог файлы собраны AutoLogger.exe и приложены к сообщению. Помогите пожалуйста! Спасибо!
      CollectionLog-2015.07.05-19.07.zip
    • ULTERnv
      Автор ULTERnv
      Ребенок лазил по сайтам в итоге фотографии и документы стали зашифрованы с разрешением XTBL прошу Вас помочь с данной проблемой.
       
      CollectionLog-2015.09.08-21.38.zip
    • Иван Милимко
      Автор Иван Милимко
      На жестком диске на каждом есть реадми с таким текстом 
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      9BC894C92277F3648443|0
      на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
       
       
      проверил AVZ и KVRT
      avz_log.txt
      CollectionLog-2015.09.08-14.45.zip
    • simm
      Автор simm
      Здравствуйте. Поймал вирус-шифровальщик. Чистил cureitом. Помогите с расшифровкой файлов!!! Прикрепляю логи и зашифрованную фотку. Заранее спасибо.
      CollectionLog-2015.08.31-01.28.zip
      111.zip
×
×
  • Создать...