shulgamax Опубликовано 12 ноября, 2018 Опубликовано 12 ноября, 2018 Здравствуйте! Внезапно все файлы на компьютере стали с расширением .id-B0F3F018.[stopencrypt@qq.com].adobe Просканировал и удалил вирусы утилитой KVRT, лог и пример файла прикрепил. Прошу помощи CollectionLog-2018.11.12-21.38.zip 1.jpg.id-B0F3F018.stopencrypt@qq.com.rar
SQ Опубликовано 12 ноября, 2018 Опубликовано 12 ноября, 2018 Здравствуйте, Мы не можем гарантировать, что сможем помочь с расшифровкой (силами добровольцев на форуме). В большенстве случаев расшифровки нет. Только зачистка следов мусора. HiJackThis (из каталога autologger)профиксить O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file) O22 - Task: \Microsoft\Windows\EDP\EDP App Launch Task - {35EF4182-F900-4632-B072-8639E4478A61},AppLaunch - (no file) O22 - Task: \Microsoft\Windows\EDP\EDP Auth Task - {35EF4182-F900-4632-B072-8639E4478A61},ReAuth - (no file) O26 - UWP Debugger: AcroCEF.exe (default) = (no file) O26 - UWP Debugger: AcroRd32.exe (default) = (no file) O26 - UWP Debugger: AcroRd32Info.exe (default) = (no file) O26 - UWP Debugger: AcroServicesUpdater.exe (default) = (no file) O26 - UWP Debugger: AcrobatInfo.exe (default) = (no file) O26 - UWP Debugger: CMigrate.exe (default) = (no file) O26 - UWP Debugger: DllNXOptions (default) = (no file) O26 - UWP Debugger: EQNEDT32.EXE (default) = (no file) O26 - UWP Debugger: ExtExport.exe (default) = (no file) O26 - UWP Debugger: FIRSTRUN.EXE (default) = (no file) O26 - UWP Debugger: FLTLDR.EXE (default) = (no file) O26 - UWP Debugger: GoogleUpdate.exe (default) = (no file) O26 - UWP Debugger: IEContentService.exe (default) = (no file) O26 - UWP Debugger: LICLUA.EXE (default) = (no file) O26 - UWP Debugger: MRT.exe (default) = (no file) O26 - UWP Debugger: MSOSQM.EXE (default) = (no file) O26 - UWP Debugger: MSOUC.EXE (default) = (no file) O26 - UWP Debugger: MiracastView.exe (default) = (no file) O26 - UWP Debugger: MsMpEng.exe (default) = (no file) O26 - UWP Debugger: NAMECONTROLSERVER.EXE (default) = (no file) O26 - UWP Debugger: OARPMANY.EXE (default) = (no file) O26 - UWP Debugger: ODeploy.exe (default) = (no file) O26 - UWP Debugger: OLicenseHeartbeat.exe (default) = (no file) O26 - UWP Debugger: OSPPREARM.EXE (default) = (no file) O26 - UWP Debugger: PDFREFLOW.EXE (default) = (no file) O26 - UWP Debugger: PresentationHost.exe (default) = (no file) O26 - UWP Debugger: PrintDialog.exe (default) = (no file) O26 - UWP Debugger: PrintIsolationHost.exe (default) = (no file) O26 - UWP Debugger: RdrCEF.exe (default) = (no file) O26 - UWP Debugger: RdrServicesUpdater.exe (default) = (no file) O26 - UWP Debugger: SmartTagInstall.exe (default) = (no file) O26 - UWP Debugger: SppExtComObj.Exe (default) = (no file) O26 - UWP Debugger: SystemSettings.exe (default) = (no file) O26 - UWP Debugger: Winword.exe (default) = (no file) O26 - UWP Debugger: chrome.exe (default) = (no file) O26 - UWP Debugger: clview.exe (default) = (no file) O26 - UWP Debugger: cnfnot32.exe (default) = (no file) O26 - UWP Debugger: cscript.exe (default) = (no file) O26 - UWP Debugger: dllhost.exe (default) = (no file) O26 - UWP Debugger: drvinst.exe (default) = (no file) O26 - UWP Debugger: dw20.exe (default) = (no file) O26 - UWP Debugger: dwtrig20.exe (default) = (no file) O26 - UWP Debugger: ehexthost32.exe (default) = (no file) O26 - UWP Debugger: excel.exe (default) = (no file) O26 - UWP Debugger: excelcnv.exe (default) = (no file) O26 - UWP Debugger: explorer.exe (default) = (no file) O26 - UWP Debugger: ffmpeg.exe (default) = (no file) O26 - UWP Debugger: graph.exe (default) = (no file) O26 - UWP Debugger: groove.exe (default) = (no file) O26 - UWP Debugger: ie4uinit.exe (default) = (no file) O26 - UWP Debugger: ieUnatt.exe (default) = (no file) O26 - UWP Debugger: ieinstal.exe (default) = (no file) O26 - UWP Debugger: ielowutil.exe (default) = (no file) O26 - UWP Debugger: iexplore.exe (default) = (no file) O26 - UWP Debugger: mmc.exe (default) = (no file) O26 - UWP Debugger: mscorsvw.exe (default) = (no file) O26 - UWP Debugger: msfeedssync.exe (default) = (no file) O26 - UWP Debugger: mshta.exe (default) = (no file) O26 - UWP Debugger: msoev.exe (default) = (no file) O26 - UWP Debugger: msohtmed.exe (default) = (no file) O26 - UWP Debugger: msosrec.exe (default) = (no file) O26 - UWP Debugger: msosync.exe (default) = (no file) O26 - UWP Debugger: msotd.exe (default) = (no file) O26 - UWP Debugger: msoxmled.exe (default) = (no file) O26 - UWP Debugger: mspub.exe (default) = (no file) O26 - UWP Debugger: msqry32.exe (default) = (no file) O26 - UWP Debugger: ngen.exe (default) = (no file) O26 - UWP Debugger: ngentask.exe (default) = (no file) O26 - UWP Debugger: onenote.exe (default) = (no file) O26 - UWP Debugger: onenotem.exe (default) = (no file) O26 - UWP Debugger: ose.exe (default) = (no file) O26 - UWP Debugger: outlook.exe (default) = (no file) O26 - UWP Debugger: powerpnt.exe (default) = (no file) O26 - UWP Debugger: protocolhandler.exe (default) = (no file) O26 - UWP Debugger: rundll32.exe (default) = (no file) O26 - UWP Debugger: runtimebroker.exe (default) = (no file) O26 - UWP Debugger: scanpst.exe (default) = (no file) O26 - UWP Debugger: searchprotocolhost.exe (default) = (no file) O26 - UWP Debugger: selfcert.exe (default) = (no file) O26 - UWP Debugger: setlang.exe (default) = (no file) O26 - UWP Debugger: splwow64.exe (default) = (no file) O26 - UWP Debugger: spoolsv.exe (default) = (no file) O26 - UWP Debugger: svchost.exe (default) = (no file) O26 - UWP Debugger: wordconv.exe (default) = (no file) O26 - UWP Debugger: wscript.exe (default) = (no file)AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Максим\AppData\Roaming\wow64_microsoft-windows-sort.resources_31bf3856ad364e35_10.0.17134.1_ru-ru_1ea0205ab6063a31\BcastDVRBroker.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки: - Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ загрузите этот архив через данную форму - Подготовьте лог AdwCleaner и приложите его в теме.
shulgamax Опубликовано 12 ноября, 2018 Автор Опубликовано 12 ноября, 2018 Не могу загрузить quarantine.zip. После загрузки пишет: Результат загрузки Ошибка загрузки. Данный файл уже был загружен лог AdwCleaner прикрепил. Вы писали, что не гарантируете помощь силами добровольцев на форуме. Значит ли это, что возможно решить этот какими-то другими силами, в случае неудачи? AdwCleanerS00.txt
SQ Опубликовано 12 ноября, 2018 Опубликовано 12 ноября, 2018 Вы писали, что не гарантируете помощь силами добровольцев на форуме. Значит ли это, что возможно решить этот какими-то другими силами, в случае неудачи? Попробовать создать запрос в тех. поддержку Лаборатории Касперского согласно следующей инструкцией: https://forum.kasperskyclub.ru/index.php?showtopic=48525 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
shulgamax Опубликовано 12 ноября, 2018 Автор Опубликовано 12 ноября, 2018 Прикрепил AdwCleanerC00.txt
SQ Опубликовано 12 ноября, 2018 Опубликовано 12 ноября, 2018 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
SQ Опубликовано 12 ноября, 2018 Опубликовано 12 ноября, 2018 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Start:: CreateRestorePoint: CloseProcesses: FF HKLM\...\Firefox\Extensions: [web2pdfextension.17@acrobat.adobe.com] - C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\Browser\WCFirefoxExtn\WebExtn\signed_extn\adobe_acrobat-1.0-windows.xpi => not found FF HKLM-x32\...\Firefox\Extensions: [web2pdfextension.17@acrobat.adobe.com] - C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\Browser\WCFirefoxExtn\WebExtn\signed_extn\adobe_acrobat-1.0-windows.xpi => not found FF HKU\S-1-5-21-1792498884-3716286347-4004111936-1001\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Максим\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [No File] FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office16\NPSPWRAP.DLL [No File] FF Plugin-x32: @nvidia.com/3DVision -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll [No File] FF Plugin-x32: @nvidia.com/3DVisionStreaming -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll [No File] FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [No File] FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [No File] FF Plugin-x32: Adobe Acrobat -> C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\Air\nppdf32.dll [No File] FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [No File] FF Plugin HKU\S-1-5-21-1792498884-3716286347-4004111936-1001: @acestream.net/acestreamplugin,version=3.1.1 -> C:\Users\Максим\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File] CHR HKU\S-1-5-21-1792498884-3716286347-4004111936-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-1792498884-3716286347-4004111936-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [glcimepnljoholdmjchkloafkggfoijh] - hxxps://clients2.google.com/service/update2/crx File: C:\Program Files\BlueStacks\BstkDrv.sys Folder: C:\Users\GLCache\0bef902f13d05e3964a7fb0e8f9168c7 Folder: C:\Users\Максим\Desktop\_gsdata_ ShellIconOverlayIdentifiers: [ SkyDrivePro1 (ErrorConflict)] -> {8BA85C75-763B-4103-94EB-9470F12FE0F7} => -> No File ShellIconOverlayIdentifiers: [ SkyDrivePro2 (SyncInProgress)] -> {CD55129A-B1A1-438E-A425-CEBC7DC684EE} => -> No File ShellIconOverlayIdentifiers: [ SkyDrivePro3 (InSync)] -> {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} => -> No File ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => C:\Program Files (x86)\AIMP\System\aimp_menu64.dll -> No File ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} => C:\Program Files\Notepad++\NppShell_06.dll -> No File ContextMenuHandlers1: [GDContextMenu] -> {BB02B294-8425-42E5-983F-41A1FA970CD6} => C:\Program Files\Google\Drive\contextmenu64.dll -> No File ContextMenuHandlers2: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => C:\Program Files (x86)\UltraISO\isoshl64.dll -> No File ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => C:\Program Files (x86)\AIMP\System\aimp_menu64.dll -> No File ContextMenuHandlers4: [GDContextMenu] -> {BB02B294-8425-42E5-983F-41A1FA970CD6} => C:\Program Files\Google\Drive\contextmenu64.dll -> No File ContextMenuHandlers4: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => C:\Program Files (x86)\UltraISO\isoshl64.dll -> No File ContextMenuHandlers6: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => C:\Program Files (x86)\UltraISO\isoshl64.dll -> No File AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [136] AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [144] AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [136] AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [144] HKLM\...\StartupApproved\Run: => "1Grizley.exe" HKU\S-1-5-21-1792498884-3716286347-4004111936-1001\...\StartupApproved\StartupFolder: => "1Grizley.exe" HKU\S-1-5-21-1792498884-3716286347-4004111936-1001\...\StartupApproved\Run: => "1Grizley.exe" Reboot: End:: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
SQ Опубликовано 12 ноября, 2018 Опубликовано 12 ноября, 2018 На этом все, к сожалению по данному типу шифровальщика у нас нет решения, пробуйте создать запрос в тех. поддержку ЛК может они смогу помочь Вам с расшифровкой. P.S. Не удалаяйте карантин до тех пор пока не решите вопрос с расшифровкой, который находится в каталоге C:\FRST .
shulgamax Опубликовано 12 ноября, 2018 Автор Опубликовано 12 ноября, 2018 Вас понял. Спасибо за уделенное время
regist Опубликовано 13 ноября, 2018 Опубликовано 13 ноября, 2018 + Рядом с исполняемым файлом HijackThis есть папка Backups, упакуйте ее и прикрепите к своему сообщению.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти