Расшифровка файлов от pilotpilot088[dog]gmail.com

[joker84]

Здравствуйте. Помогите разобраться с проблемой.

На одном из рабочих ПК все файлы зашифровались.

Скорее почту с вирусом открыли или флешка с другом на борту была.

 

На логических дисках появились файлы Readme с текстом

 

Bашu файлы былu зaшифpoвaны.
Чmoбы расшифрoвamь их, Baм нeобxoдuмo oтпрaвuть koд:
E9C3CD2652937F05EF06|0
нa электpoнный адpеc pilotpilot088@gmail.com .
Далее вы noлyчитe все необходимые инструkцuи.

 

 

Бесплатными сканерами от Касперского и Дк. Вэба, пользовался. Удалил трояны.

 

Прилагаю логи от AVZ, Farbar Recovery Scan Tool, AutoLogger

 

В архиве аrchive_files_crypted000007.zip

несколько зашифрованых файлов и файлы ридми

 

еще лог от virusinfo  -> ссылка на архив (22мб)

Залил на обменик т.к. огранич. здесь.

Farbar_Recovery_Scan.zip

CollectionLog-2019.02.12-16.07.zip

Archive_files_crypted000007.zip

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Drivers\csrss.exe', '');
 QuarantineFile('C:\ProgramData\services\csrss.exe', '');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 QuarantineFileF('C:\ProgramData\Drivers\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\Windows\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32');
 DeleteFile('C:\ProgramData\services\csrss.exe', '32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 DeleteFileMask('C:\ProgramData\Drivers\', '*', true);
 DeleteFileMask('C:\ProgramData\Windows\', '*', true);
 DeleteDirectory('C:\ProgramData\Drivers\');
 DeleteDirectory('C:\ProgramData\Windows\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem', 'command', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS', 'command', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Session Manager', 'command', '32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

 

еще лог от virusinfo -> ссылка на архив (22мб) Залил на обменик т.к. огранич. здесь.

 

403

вам запрещено это действие, этот файл приватный и ваш ключ неправильный

[joker84]

Запустил AVZ - выполнить скрипт, вставил первый скрипт и при запуске ПО пишет что 

Ошибка: Too many actual parameters в позиции 18:16

[Sandor]

Если бы вы прочли инструкцию, то увидели бы, что:

Утилита AVZ находится в папке ..\AutoLogger\AVZ, т.е. там, откуда Вы запускали автоматический сборщик логов

[joker84]

Да, вы правы. я запускал скрипт не через Автологера.

[joker84]

Заново все проделал

 

virusinfo_log ссылка на файловобменик

 

Архивы с назв. system32 and virus_crypter00007 зашиф.файлы

CollectionLog-2019.02.18-09.24.zip

Farbar Recovery Scan.zip

quarantine.zip

System32.zip

virus_crypter00007.zip

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {0102f43b-f734-11e1-9b22-005056c00008} - G:\AutoRun.exe
  HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {023295cc-fbf8-11e1-9c0f-005056c00008} - G:\AutoRun.exe
  HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {023295ce-fbf8-11e1-9c0f-005056c00008} - G:\AutoRun.exe
  HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {023295d0-fbf8-11e1-9c0f-005056c00008} - G:\AutoRun.exe
  HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {33305656-f805-11e1-93ba-005056c00008} - G:\AutoRun.exe
  HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {3330565b-f805-11e1-93ba-005056c00008} - G:\AutoRun.exe
  HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {3c881351-19ac-11e2-b434-005056c00008} - G:\AutoRun.exe
  HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {3c881353-19ac-11e2-b434-005056c00008} - G:\AutoRun.exe
  HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {4b2c477e-1295-11e2-aff0-005056c00008} - G:\AutoRun.exe
  HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {528a1514-0084-11e2-8778-005056c00008} - G:\AutoRun.exe
  HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {57150c55-f71b-11e1-92fb-005056c00008} - G:\AutoRun.exe
  HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {57150c6a-f71b-11e1-92fb-005056c00008} - G:\AutoRun.exe
  HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {674d435a-0217-11e2-9d56-005056c00008} - G:\AutoRun.exe
  HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {674d435c-0217-11e2-9d56-005056c00008} - G:\AutoRun.exe
  HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {8c26f293-9b66-11e5-8489-005056c00008} - G:\LaunchU3.exe -a
  HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {b077fb76-39ef-11e2-8241-005056c00008} - G:\AutoRun.exe
  HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {b4f40d40-cc18-11e1-bed2-806e6f6e6963} - F:\AUTORUN.exe
  HKU\S-1-5-21-724139217-3952287342-2892344523-1000\...\MountPoints2: {d7044fa6-f016-11e1-89a6-806e6f6e6963} - E:\AUTORUN.exe
  GroupPolicy: Restriction ? <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  CHR HomePage: Default -> inline.go.mail.ru
  C:\Users\Roman\AppData\Local\Google\Chrome\User Data\Default\Extensions\necfmkplpminfjagblfabggomdpaakan
  C:\Users\Roman\AppData\Local\Google\Chrome\User Data\Default\Extensions\odijcgafkhpobjlnfdgiacpdenpmbgme
  C:\Users\Roman\AppData\Local\Google\Chrome\User Data\Default\Extensions\phkdcinmmljblpnkohlipaiodlonpinf
  C:\Users\Roman\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmpoaahleccaibbhfjfimigepmfmmbbk
  2019-02-11 08:54 - 2019-02-11 12:57 - 000000000 __SHD C:\ProgramData\services
  2019-02-11 08:54 - 2019-02-11 11:36 - 000000000 __SHD C:\ProgramData\Resources
  2019-02-11 08:54 - 2019-02-11 08:54 - 006220854 _____ C:\Users\Roman\AppData\Roaming\2D3F6EFF2D3F6EFF.bmp
  2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README9.txt
  2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README8.txt
  2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README7.txt
  2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README6.txt
  2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README5.txt
  2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README4.txt
  2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README3.txt
  2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README2.txt
  2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README10.txt
  2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Roman\Desktop\README1.txt
  2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README9.txt
  2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README8.txt
  2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README7.txt
  2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README6.txt
  2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README5.txt
  2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README4.txt
  2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README3.txt
  2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README2.txt
  2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README10.txt
  2019-02-11 08:54 - 2019-02-11 08:54 - 000004150 _____ C:\Users\Public\Desktop\README1.txt
  2019-02-11 08:54 - 2019-02-11 08:54 - 000000000 __SHD C:\ProgramData\SysWOW64
  2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README9.txt
  2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README8.txt
  2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README7.txt
  2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README6.txt
  2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README5.txt
  2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README4.txt
  2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README3.txt
  2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README2.txt
  2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README10.txt
  2019-02-11 08:28 - 2019-02-11 08:28 - 000004150 _____ C:\README1.txt
  FirewallRules: [{AD24E643-658D-47AD-87DF-CBA00133AF30}] => (Allow) C:\GV-600\GV600.exe No File
  FirewallRules: [{32D852C2-7660-4496-AD2B-5DD61EDED06B}] => (Allow) C:\GV-600\GV600.exe No File
  FirewallRules: [{BE505CC5-630C-4807-B34A-C114BE6A792F}] => (Allow) C:\GV-NVR\CMSvr.exe No File
  FirewallRules: [{CB99E811-D2D7-4F21-A36F-5A5CCF1C51DF}] => (Allow) C:\GV-NVR\CMSvr.exe No File
  FirewallRules: [{1A60D224-7788-47B7-B501-2B7CDCD12751}] => (Allow) C:\GV-NVR\CMShttpSvr.exe No File
  FirewallRules: [{96AFBEF2-A494-4510-B437-ADAE56587CEE}] => (Allow) C:\GV-NVR\CMShttpSvr.exe No File
  FirewallRules: [{5884EB88-6E00-4D9B-9D26-BD4FC11282F4}] => (Allow) C:\GV-NVR\GVNVR.exe No File
  FirewallRules: [{2EEE5A27-6A90-41E6-9519-452C3008A42A}] => (Allow) C:\GV-NVR\GVNVR.exe No File
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[joker84]

Спасибо всем кто откликнулся на мою проблему.

Зашиф. файлы записал на ДВД.

Систему снес, поставил с нуля, т.к. запросили ПК (работать надо на нем).

Соотв. выше операц. выполнить не могу.

Данные похоронили. 

[Sandor]

Расшифровка вряд ли появится в ближайшее время. Сносить систему не было необходимости.

 

На будущее: Рекомендации после удаления вредоносного ПО

[joker84]

Расшифровка вряд ли появится в ближайшее время. Сносить систему не было необходимости.

 

На будущее: Рекомендации после удаления вредоносного ПО

система давно не обслуживалась, и там черт ногу поломает. За консультации и помощь всем спасибо.

[regist]

@joker84, на будущее в таких случаях лучше не только файлы записывать, а делать образ диска. Ибо для рассшировки (если она появится) могут потребоваться дополнительные файлы или ветки реестра созданные при работе вируса.