Вирус переименовал все файл и сменил расширение на .crypted000007

[nick-v]

Добрый день, системник не мой, принесли "попросили что-нибудь сделать", пробовал по средствам сайта https://www.nomoreransom.org, вроде нашло нужную утилиту BDAnnabelleDecryptTool но она не помогла, написала что файлов зараженных нет... впрочем как и CoinVaultDecryptor. Помогите, спасибо!

CollectionLog-2018.11.05-13.06.zip

[Sandor]

Здравствуйте!

 

Расшифровки этого типа вымогателя нет, к сожалению. Но, судя по логам, он возможно еще активен.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Resources\svchost.exe', '');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Resources\svchost.exe', '64');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem', 'command', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hh.exe', 'command', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено 5 ноября, 2018 пользователем Sandor

[regist]

Здравствуйте!

+

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O2-32 - HKLM\..\BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - C:\Users\Scorp\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll (file missing)
O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Server4PC.lnk [backup] => C:\Program Files (x86)\TechniSat DVB\bin\Server4PC.exe (2017/01/01) (file missing)
O4 - MSConfig\startupreg: Client Server Runtime Subsystem [command] = C:\ProgramData\Windows\csrss.exe (HKLM) (2018/11/01) (file missing)
O4 - MSConfig\startupreg: World of Tanks [command] = D:\Games\World_of_Tanks\WargamingGameUpdater.exe (HKCU) (2018/11/01) (file missing)
O4 - MSConfig\startupreg: hh.exe [command] = C:\ProgramData\Resources\svchost.exe (HKLM) (2018/11/01) (file missing)
O22 - Task (.job): (Ready) Восстановление сервиса обновлений Яндекс.Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\18.7.1.920\service_update.exe (file missing)  --repair
O22 - Task (.job): (Ready) Системное обновление Браузера Яндекс.job - C:\Program Files (x86)\Yandex\YandexBrowser\18.7.1.920\service_update.exe (file missing)  --run-as-launcher
O22 - Task: Восстановление сервиса обновлений Яндекс.Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\18.7.1.920\service_update.exe --repair (file missing)
O22 - Task: Системное обновление Браузера Яндекс - C:\Program Files (x86)\Yandex\YandexBrowser\18.7.1.920\service_update.exe --run-as-launcher (file missing)

Java(TM) 6 Update 15 [20161224]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF}

деинсталируйте.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи Автологером по правилам.

Изменено 5 ноября, 2018 пользователем regist