Шифровальщик *.crypted000007

[CasperGB]

Подхватили шифровальщик, где неизвестно. Все файлы пользователя зашифрованы с расширением *.crypted000007. Помогите пожалуйста. Логи прилагаю.

CollectionLog-2018.10.31-09.42.zip

[Sandor]

Здравствуйте!

 

При сборе логов антивирус отключали?

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

TuneUp Utilities

Затем:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[CasperGB]

Здравствуйте!

 

При сборе логов антивирус отключали?

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

TuneUp Utilities

Затем:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

TuneUp Utilities мы удалили, а вот AdwCleaner (by Malwarebytes) не запускается. Пишет ошибку  (скрин). Пробовал установить DirectX10_RC2_Pre_Fix_3 как советуют в сети, ошибка остается. 

 

Здравствуйте!

 

При сборе логов антивирус отключали?

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

TuneUp Utilities

Затем:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

TuneUp Utilities мы удалили, а вот AdwCleaner (by Malwarebytes) не запускается. Пишет ошибку  (скрин). Пробовал установить DirectX10_RC2_Pre_Fix_3 как советуют в сети, ошибка остается. 

 

Прикрепляю лог без TuneUp Utilities созданный AutoLogger'ом

CollectionLog-2018.10.31-16.57.zip

[regist]

Здравствуйте!

 

 - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 StopService('19642E2D8A');
 StopService('19843DC1A1');
 StopService('1A341EE1EB');
 StopService('1A6707505A');
 StopService('1A7D41DB56');
 StopService('1AD79C372E');
 StopService('1C5CC502BE');
 StopService('1CEE527898');
 StopService('1D6EBFCB40');
 StopService('1DCE07D5FD');
 StopService('1E731E1ED0');
 StopService('1E758747B1');
 StopService('1F2A7A9BE2');
 QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\drwebkey.bat', '');
 QuarantineFile('C:\WINDOWS\system32\Restore\profhlp.exe', '');
 QuarantineFile('C:\WINDOWS\TEMP\19642E2D8A.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\19843DC1A1.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1A341EE1EB.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1A6707505A.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1A7D41DB56.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1AD79C372E.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1C5CC502BE.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1CEE527898.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1D6EBFCB40.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1DCE07D5FD.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1E731E1ED0.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1E758747B1.sys', '');
 QuarantineFile('C:\WINDOWS\TEMP\1F2A7A9BE2.sys', '');
 DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\drwebkey.bat', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^drwebkey.bat', '32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

begin
  SetupAVZ('QrPWD=malware');
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощьюэтой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения.

 

"Пофиксите" в HijackThis:

O26 - Debugger: HKLM\..\rstrui.exe: [Debugger] = C:\WINDOWS\system32\Restore\profhlp.exe

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

+ если не читали при регистрации, то сейчас перечитайте правила форума, в частности пункт №14.

[CasperGB]

Выполнили все вышеперечисленное. Но при запуске автосборщика логов выдает такое сообщение (скрин). При попытке скачать с сайта новый таже самая ошибка. Кнопка обновить базы в AVZ недоступна.

[regist]

Проверьте у себя дату. Почему у вас 1-е число стоит?

Изменено 31 октября, 2018 пользователем regist

[CasperGB]

Спасибо, дату исправили! Прикрепляю файл Автологера.

CollectionLog-2018.10.31-13.40.zip