Перейти к содержанию

Шифровальщик *.crypted000007

CasperGB
 Поделиться

Рекомендуемые сообщения

CasperGB

CasperGB

Опубликовано
Опубликовано

Подхватили шифровальщик, где неизвестно. Все файлы пользователя зашифрованы с расширением *.crypted000007. Помогите пожалуйста. Логи прилагаю.

CollectionLog-2018.10.31-09.42.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

При сборе логов антивирус отключали?

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

TuneUp Utilities

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
CasperGB

CasperGB

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

При сборе логов антивирус отключали?

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

TuneUp Utilities

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

TuneUp Utilities мы удалили, а вот AdwCleaner (by Malwarebytes) не запускается. Пишет ошибку  (скрин). Пробовал установить DirectX10_RC2_Pre_Fix_3 как советуют в сети, ошибка остается. 

 

Здравствуйте!

 

При сборе логов антивирус отключали?

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

TuneUp Utilities

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

TuneUp Utilities мы удалили, а вот AdwCleaner (by Malwarebytes) не запускается. Пишет ошибку  (скрин). Пробовал установить DirectX10_RC2_Pre_Fix_3 как советуют в сети, ошибка остается. 

 

Прикрепляю лог без TuneUp Utilities созданный AutoLogger'ом

post-51590-0-53511400-1540907227_thumb.jpg

CollectionLog-2018.10.31-16.57.zip

regist

regist

Опубликовано
Опубликовано

Здравствуйте!

 

 - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 StopService('19642E2D8A');
 StopService('19843DC1A1');
 StopService('1A341EE1EB');
 StopService('1A6707505A');
 StopService('1A7D41DB56');
 StopService('1AD79C372E');
 StopService('1C5CC502BE');
 StopService('1CEE527898');
 StopService('1D6EBFCB40');
 StopService('1DCE07D5FD');
 StopService('1E731E1ED0');
 StopService('1E758747B1');
 StopService('1F2A7A9BE2');
 QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\drwebkey.bat', '');
 QuarantineFile('C:\WINDOWS\system32\Restore\profhlp.exe', '');
 QuarantineFile('C:\WINDOWS\TEMP\19642E2D8A.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\19843DC1A1.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1A341EE1EB.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1A6707505A.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1A7D41DB56.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1AD79C372E.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1C5CC502BE.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1CEE527898.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1D6EBFCB40.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1DCE07D5FD.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1E731E1ED0.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1E758747B1.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1F2A7A9BE2.sys', '');
 DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\drwebkey.bat', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^drwebkey.bat', '32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

begin
  SetupAVZ('QrPWD=malware');
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощьюэтой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения.

 

"Пофиксите" в HijackThis:

O26 - Debugger: HKLM\..\rstrui.exe: [Debugger] = C:\WINDOWS\system32\Restore\profhlp.exe
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

+ если не читали при регистрации, то сейчас перечитайте правила форума, в частности пункт №14.

CasperGB

CasperGB

Опубликовано
  • Автор
Опубликовано

Выполнили все вышеперечисленное. Но при запуске автосборщика логов выдает такое сообщение (скрин). При попытке скачать с сайта новый таже самая ошибка. Кнопка обновить базы в AVZ недоступна.

post-51590-0-42171300-1540968783_thumb.jpg

regist

regist

Опубликовано
Опубликовано (изменено)

Проверьте у себя дату. Почему у вас 1-е число стоит?

Изменено пользователем regist

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ser25
      Шифровальщик
      Автор Ser25
      Взломали пароль и зашифровали удаленный комп. Пока ничего не предпринимал
      20250507.7z
    • Пользователь 1551
      Шифровальщик
      Автор Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Thunderer
      Шифровальщик
      Автор Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Сергей_00
      шифровальщик
      Автор Сергей_00
      Добрый день!
      Сегодня шифровальщик зашифровал большую часть нужных файлов, благо выключили компьютер из розетки...
      В результате остались файлы в папке запуска подозрительного файла   svhostss.exe, а именно в папке c:\users\пользователь\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe
      следующие файлы:
      Everything.db
      Everything32.dll
      Everything64.dll
      session.tmp
      svhostss.exe
       
      быть может есть возможность дешифровать данные? 
    • bygi13
      Шифровальщик
      Автор bygi13
      Вирус шифровальщик
×
×
  • Создать...