Перейти к содержанию

stopencrypt@qq.com

shulgamax
 Share

Рекомендуемые сообщения

shulgamax Новичок

shulgamax

Опубликовано
Опубликовано

Здравствуйте!

Внезапно все файлы на компьютере стали с расширением .id-B0F3F018.[stopencrypt@qq.com].adobe

Просканировал и удалил вирусы утилитой KVRT, лог и пример файла прикрепил.

Прошу помощи

CollectionLog-2018.11.12-21.38.zip

1.jpg.id-B0F3F018.stopencrypt@qq.com.rar

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

Мы не можем гарантировать, что сможем помочь с расшифровкой (силами добровольцев на форуме). В большенстве случаев расшифровки нет. Только зачистка следов мусора.

 

HiJackThis (из каталога autologger)профиксить

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O22 - Task: \Microsoft\Windows\EDP\EDP App Launch Task - {35EF4182-F900-4632-B072-8639E4478A61},AppLaunch - (no file)
O22 - Task: \Microsoft\Windows\EDP\EDP Auth Task - {35EF4182-F900-4632-B072-8639E4478A61},ReAuth - (no file)
O26 - UWP Debugger: AcroCEF.exe (default) = (no file)
O26 - UWP Debugger: AcroRd32.exe (default) = (no file)
O26 - UWP Debugger: AcroRd32Info.exe (default) = (no file)
O26 - UWP Debugger: AcroServicesUpdater.exe (default) = (no file)
O26 - UWP Debugger: AcrobatInfo.exe (default) = (no file)
O26 - UWP Debugger: CMigrate.exe (default) = (no file)
O26 - UWP Debugger: DllNXOptions (default) = (no file)
O26 - UWP Debugger: EQNEDT32.EXE (default) = (no file)
O26 - UWP Debugger: ExtExport.exe (default) = (no file)
O26 - UWP Debugger: FIRSTRUN.EXE (default) = (no file)
O26 - UWP Debugger: FLTLDR.EXE (default) = (no file)
O26 - UWP Debugger: GoogleUpdate.exe (default) = (no file)
O26 - UWP Debugger: IEContentService.exe (default) = (no file)
O26 - UWP Debugger: LICLUA.EXE (default) = (no file)
O26 - UWP Debugger: MRT.exe (default) = (no file)
O26 - UWP Debugger: MSOSQM.EXE (default) = (no file)
O26 - UWP Debugger: MSOUC.EXE (default) = (no file)
O26 - UWP Debugger: MiracastView.exe (default) = (no file)
O26 - UWP Debugger: MsMpEng.exe (default) = (no file)
O26 - UWP Debugger: NAMECONTROLSERVER.EXE (default) = (no file)
O26 - UWP Debugger: OARPMANY.EXE (default) = (no file)
O26 - UWP Debugger: ODeploy.exe (default) = (no file)
O26 - UWP Debugger: OLicenseHeartbeat.exe (default) = (no file)
O26 - UWP Debugger: OSPPREARM.EXE (default) = (no file)
O26 - UWP Debugger: PDFREFLOW.EXE (default) = (no file)
O26 - UWP Debugger: PresentationHost.exe (default) = (no file)
O26 - UWP Debugger: PrintDialog.exe (default) = (no file)
O26 - UWP Debugger: PrintIsolationHost.exe (default) = (no file)
O26 - UWP Debugger: RdrCEF.exe (default) = (no file)
O26 - UWP Debugger: RdrServicesUpdater.exe (default) = (no file)
O26 - UWP Debugger: SmartTagInstall.exe (default) = (no file)
O26 - UWP Debugger: SppExtComObj.Exe (default) = (no file)
O26 - UWP Debugger: SystemSettings.exe (default) = (no file)
O26 - UWP Debugger: Winword.exe (default) = (no file)
O26 - UWP Debugger: chrome.exe (default) = (no file)
O26 - UWP Debugger: clview.exe (default) = (no file)
O26 - UWP Debugger: cnfnot32.exe (default) = (no file)
O26 - UWP Debugger: cscript.exe (default) = (no file)
O26 - UWP Debugger: dllhost.exe (default) = (no file)
O26 - UWP Debugger: drvinst.exe (default) = (no file)
O26 - UWP Debugger: dw20.exe (default) = (no file)
O26 - UWP Debugger: dwtrig20.exe (default) = (no file)
O26 - UWP Debugger: ehexthost32.exe (default) = (no file)
O26 - UWP Debugger: excel.exe (default) = (no file)
O26 - UWP Debugger: excelcnv.exe (default) = (no file)
O26 - UWP Debugger: explorer.exe (default) = (no file)
O26 - UWP Debugger: ffmpeg.exe (default) = (no file)
O26 - UWP Debugger: graph.exe (default) = (no file)
O26 - UWP Debugger: groove.exe (default) = (no file)
O26 - UWP Debugger: ie4uinit.exe (default) = (no file)
O26 - UWP Debugger: ieUnatt.exe (default) = (no file)
O26 - UWP Debugger: ieinstal.exe (default) = (no file)
O26 - UWP Debugger: ielowutil.exe (default) = (no file)
O26 - UWP Debugger: iexplore.exe (default) = (no file)
O26 - UWP Debugger: mmc.exe (default) = (no file)
O26 - UWP Debugger: mscorsvw.exe (default) = (no file)
O26 - UWP Debugger: msfeedssync.exe (default) = (no file)
O26 - UWP Debugger: mshta.exe (default) = (no file)
O26 - UWP Debugger: msoev.exe (default) = (no file)
O26 - UWP Debugger: msohtmed.exe (default) = (no file)
O26 - UWP Debugger: msosrec.exe (default) = (no file)
O26 - UWP Debugger: msosync.exe (default) = (no file)
O26 - UWP Debugger: msotd.exe (default) = (no file)
O26 - UWP Debugger: msoxmled.exe (default) = (no file)
O26 - UWP Debugger: mspub.exe (default) = (no file)
O26 - UWP Debugger: msqry32.exe (default) = (no file)
O26 - UWP Debugger: ngen.exe (default) = (no file)
O26 - UWP Debugger: ngentask.exe (default) = (no file)
O26 - UWP Debugger: onenote.exe (default) = (no file)
O26 - UWP Debugger: onenotem.exe (default) = (no file)
O26 - UWP Debugger: ose.exe (default) = (no file)
O26 - UWP Debugger: outlook.exe (default) = (no file)
O26 - UWP Debugger: powerpnt.exe (default) = (no file)
O26 - UWP Debugger: protocolhandler.exe (default) = (no file)
O26 - UWP Debugger: rundll32.exe (default) = (no file)
O26 - UWP Debugger: runtimebroker.exe (default) = (no file)
O26 - UWP Debugger: scanpst.exe (default) = (no file)
O26 - UWP Debugger: searchprotocolhost.exe (default) = (no file)
O26 - UWP Debugger: selfcert.exe (default) = (no file)
O26 - UWP Debugger: setlang.exe (default) = (no file)
O26 - UWP Debugger: splwow64.exe (default) = (no file)
O26 - UWP Debugger: spoolsv.exe (default) = (no file)
O26 - UWP Debugger: svchost.exe (default) = (no file)
O26 - UWP Debugger: wordconv.exe (default) = (no file)
O26 - UWP Debugger: wscript.exe (default) = (no file)
AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Максим\AppData\Roaming\wow64_microsoft-windows-sort.resources_31bf3856ad364e35_10.0.17134.1_ru-ru_1ea0205ab6063a31\BcastDVRBroker.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

- Подготовьте лог AdwCleaner и приложите его в теме.

Ссылка на комментарий
Поделиться на другие сайты
shulgamax Новичок

shulgamax

Опубликовано
  • Автор
Опубликовано

Не могу загрузить quarantine.zip. После загрузки пишет: Результат загрузки Ошибка загрузки. Данный файл уже был загружен

лог AdwCleaner прикрепил.

Вы писали, что не гарантируете помощь силами добровольцев на форуме. Значит ли это, что возможно решить этот какими-то другими силами, в случае неудачи?

AdwCleanerS00.txt

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Вы писали, что не гарантируете помощь силами добровольцев на форуме. Значит ли это, что возможно решить этот какими-то другими силами, в случае неудачи?

Попробовать создать запрос в тех. поддержку Лаборатории Касперского согласно следующей инструкцией:

https://forum.kasperskyclub.ru/index.php?showtopic=48525

 

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
CreateRestorePoint:
CloseProcesses:
FF HKLM\...\Firefox\Extensions: [web2pdfextension.17@acrobat.adobe.com] - C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\Browser\WCFirefoxExtn\WebExtn\signed_extn\adobe_acrobat-1.0-windows.xpi => not found
FF HKLM-x32\...\Firefox\Extensions: [web2pdfextension.17@acrobat.adobe.com] - C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\Browser\WCFirefoxExtn\WebExtn\signed_extn\adobe_acrobat-1.0-windows.xpi => not found
FF HKU\S-1-5-21-1792498884-3716286347-4004111936-1001\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Максим\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [No File]
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office16\NPSPWRAP.DLL [No File]
FF Plugin-x32: @nvidia.com/3DVision -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll [No File]
FF Plugin-x32: @nvidia.com/3DVisionStreaming -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll [No File]
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [No File]
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [No File]
FF Plugin-x32: Adobe Acrobat -> C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\Air\nppdf32.dll [No File]
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [No File]
FF Plugin HKU\S-1-5-21-1792498884-3716286347-4004111936-1001: @acestream.net/acestreamplugin,version=3.1.1 -> C:\Users\Максим\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File]
CHR HKU\S-1-5-21-1792498884-3716286347-4004111936-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1792498884-3716286347-4004111936-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [glcimepnljoholdmjchkloafkggfoijh] - hxxps://clients2.google.com/service/update2/crx
File: C:\Program Files\BlueStacks\BstkDrv.sys
Folder: C:\Users\GLCache\0bef902f13d05e3964a7fb0e8f9168c7
Folder: C:\Users\Максим\Desktop\_gsdata_
ShellIconOverlayIdentifiers: [ SkyDrivePro1 (ErrorConflict)] -> {8BA85C75-763B-4103-94EB-9470F12FE0F7} =>  -> No File
ShellIconOverlayIdentifiers: [ SkyDrivePro2 (SyncInProgress)] -> {CD55129A-B1A1-438E-A425-CEBC7DC684EE} =>  -> No File
ShellIconOverlayIdentifiers: [ SkyDrivePro3 (InSync)] -> {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} =>  -> No File
ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => C:\Program Files (x86)\AIMP\System\aimp_menu64.dll -> No File
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} => C:\Program Files\Notepad++\NppShell_06.dll -> No File
ContextMenuHandlers1: [GDContextMenu] -> {BB02B294-8425-42E5-983F-41A1FA970CD6} => C:\Program Files\Google\Drive\contextmenu64.dll -> No File
ContextMenuHandlers2: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => C:\Program Files (x86)\UltraISO\isoshl64.dll -> No File
ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => C:\Program Files (x86)\AIMP\System\aimp_menu64.dll -> No File
ContextMenuHandlers4: [GDContextMenu] -> {BB02B294-8425-42E5-983F-41A1FA970CD6} => C:\Program Files\Google\Drive\contextmenu64.dll -> No File
ContextMenuHandlers4: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => C:\Program Files (x86)\UltraISO\isoshl64.dll -> No File
ContextMenuHandlers6: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => C:\Program Files (x86)\UltraISO\isoshl64.dll -> No File
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [136]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [144]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [136]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [144]
HKLM\...\StartupApproved\Run: => "1Grizley.exe"
HKU\S-1-5-21-1792498884-3716286347-4004111936-1001\...\StartupApproved\StartupFolder: => "1Grizley.exe"
HKU\S-1-5-21-1792498884-3716286347-4004111936-1001\...\StartupApproved\Run: => "1Grizley.exe"
Reboot:
End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

На этом все, к сожалению по данному типу шифровальщика у нас нет решения, пробуйте создать запрос в тех. поддержку ЛК может они смогу помочь Вам с расшифровкой.

 

P.S. Не удалаяйте карантин до тех пор пока не решите вопрос с расшифровкой, который находится в каталоге C:\FRST .

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Daniil-b
      Шифровальщик Crylock 2.0.0.0 (fairexchange@qq.com)
      От Daniil-b
      День добрый!
      Как-то давно стандартно через открытый наружу rdp прилетел Crylock 2.0.0.0.
      Через часик всё подняли из бэкапов, но что-то не успело в них попасть.
      Вот, через несколько лет возникла необходимость поднять несколько старых файлов.
      Прошу помощи в расшифровке.
      Тела вируса уже нет, в каждой директории лежал файлик how_to_decrypt.hta со стандартным содержимым.
      Пара зашифрованных файлов во вложении, пароль: help .. )
       
      Спасибо!
       
      ENCRYPTED.zip
    • davidbayra
      Шифровальщик (fairexchange@qq.com)
      От davidbayra
      Здравствуйте примерно в это-же время у меня случилось та же проблема, на win7 зашифровались все файлы этим же шифровальщиком(fairexchange@qq.com), я тоже отложил диск до лучших времен и вот сейчас увидел это сообщение на форуме я обрадовался. Подскажите как мне расшифровать данные? Приложил пример зашифрованного файла. Спасибо!
      Документы №20933363040.Pdf[fairexchange@qq.com].zip
       
      Сообщение от модератора thyrex Перенесено из темы https://forum.kasperskyclub.ru/topic/424464-rasshifrovano-shifrovalshhik-fairexchangeqqcom/  
    • vangeraman
      [РАСШИФРОВАНО] Шифровальщик (fairexchange@qq.com)
      От vangeraman
      Всем привет) надеюсь всё верно оформил)
      В далёком 21 году на почту пришло письмо, которое открыли, все файлы на харде зашифровались, на тот момент решения не было, отложили винт. Сейчас как понял есть возможность расшифровки.
      Стояла win 7 x64 на тот момент, сейчас её нет, расшифровывать буду (если будет конечно возможность) на win 10 x64.
      Прикрепляю 2 архива, в одном файлы зашифрованные, во втором how_to_decrypt (пароль к обоим "infected" без кавычек).
       
      Прошу помощи в расшифровке.
      how_to_decrypt.zip Диана.zip
×
×
  • Создать...