Перейти к содержанию

Шифровальщик *.crypted000007

CasperGB
 Share

Рекомендуемые сообщения

CasperGB Новичок

CasperGB

Опубликовано
Опубликовано

Подхватили шифровальщик, где неизвестно. Все файлы пользователя зашифрованы с расширением *.crypted000007. Помогите пожалуйста. Логи прилагаю.

CollectionLog-2018.10.31-09.42.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

При сборе логов антивирус отключали?

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

TuneUp Utilities

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
CasperGB Новичок

CasperGB

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

При сборе логов антивирус отключали?

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

TuneUp Utilities

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

TuneUp Utilities мы удалили, а вот AdwCleaner (by Malwarebytes) не запускается. Пишет ошибку  (скрин). Пробовал установить DirectX10_RC2_Pre_Fix_3 как советуют в сети, ошибка остается. 

 

Здравствуйте!

 

При сборе логов антивирус отключали?

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

TuneUp Utilities

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

TuneUp Utilities мы удалили, а вот AdwCleaner (by Malwarebytes) не запускается. Пишет ошибку  (скрин). Пробовал установить DirectX10_RC2_Pre_Fix_3 как советуют в сети, ошибка остается. 

 

Прикрепляю лог без TuneUp Utilities созданный AutoLogger'ом

post-51590-0-53511400-1540907227_thumb.jpg

CollectionLog-2018.10.31-16.57.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

 

 - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 StopService('19642E2D8A');
 StopService('19843DC1A1');
 StopService('1A341EE1EB');
 StopService('1A6707505A');
 StopService('1A7D41DB56');
 StopService('1AD79C372E');
 StopService('1C5CC502BE');
 StopService('1CEE527898');
 StopService('1D6EBFCB40');
 StopService('1DCE07D5FD');
 StopService('1E731E1ED0');
 StopService('1E758747B1');
 StopService('1F2A7A9BE2');
 QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\drwebkey.bat', '');
 QuarantineFile('C:\WINDOWS\system32\Restore\profhlp.exe', '');
 QuarantineFile('C:\WINDOWS\TEMP\19642E2D8A.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\19843DC1A1.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1A341EE1EB.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1A6707505A.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1A7D41DB56.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1AD79C372E.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1C5CC502BE.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1CEE527898.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1D6EBFCB40.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1DCE07D5FD.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1E731E1ED0.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1E758747B1.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1F2A7A9BE2.sys', '');
 DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\drwebkey.bat', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^drwebkey.bat', '32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

begin
  SetupAVZ('QrPWD=malware');
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощьюэтой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения.

 

"Пофиксите" в HijackThis:

O26 - Debugger: HKLM\..\rstrui.exe: [Debugger] = C:\WINDOWS\system32\Restore\profhlp.exe
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

+ если не читали при регистрации, то сейчас перечитайте правила форума, в частности пункт №14.

Ссылка на комментарий
Поделиться на другие сайты
CasperGB Новичок

CasperGB

Опубликовано
  • Автор
Опубликовано

Выполнили все вышеперечисленное. Но при запуске автосборщика логов выдает такое сообщение (скрин). При попытке скачать с сайта новый таже самая ошибка. Кнопка обновить базы в AVZ недоступна.

post-51590-0-42171300-1540968783_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Thunderer
      Шифровальщик
      От Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Пользователь 1551
      Шифровальщик
      От Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Korwin312
      Шифровальщик ooo4ps.
      От Korwin312
      Добрый день.
      Зашифрованы файлы на диске C. Полностью заблокирован диск D.
      Атака совершена 22.02 около полуночи.
      Файлы прилагаю.
       
      FRST.txt Addition.txt Shortcut.txt FILES_ENCRYPTED.txt logo_TF_2016_222px (1).png.rar
    • Евгений А1
      Шифровальщик АES.
      От Евгений А1
      Добрый день! Поймали шифровальщик. Очень похоже на взлом сервера, зашифрованы не только папки которые были видны через сеть, но и папки внутри сервера. Которые не были расшарены. Во вложении файлы про выкуп. Реадми. И примеры зашифрованных файлов.
      vikupandfile.7zAddition.txtFRST.txt
    • Bruce007
      Шифровальщик с расширением fear.pw
      От Bruce007
      Здравствуйте!
      Поймали вирус-шифровальщик с расширением fear.pw прикладываю два зашифрованных файла и лог FRST (запускал с live cd) почта platishilidrochish@fear.pw
      Пожалуйста, помогите, чем можете!
      DeCrYpTiOn.txt FRST.txt Примеры файлов.rar
×
×
  • Создать...