Помогите расшифровать файлы пожалуйста. Лог теста и пример зашифрованного файла во вложении
Printable View
Помогите расшифровать файлы пожалуйста. Лог теста и пример зашифрованного файла во вложении
Уважаемый(ая) [B]Alexonic[/B], спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
[URL="http://virusinfo.info/showthread.php?t=130828"][b]Временно[/b] отключите защитное ПО[/URL].
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]:
[CODE]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\A44D~1\AppData\Local\Temp\svcgco.exe', '');
DeleteFile('C:\Users\A44D~1\AppData\Local\Temp\svcgco.exe', '32');
DeleteFile('C:\Users\A44D~1\AppData\Local\Temp\svcgco.exe', '64');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '2696701043', '32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '2696701043', '64');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
Компьютер [U]перезагрузится[/U].
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL]. ([COLOR="RoyalBlue"]CollectionLog[/COLOR])
Нажимал, пишет ошибка файл уже загружен
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Повторное сканирование
Тип вымогателя Cryakl последних версий, расшифровки нет.
При наличии лицензии на антивирус Касперского или Dr.Web обратитесь в их ТП (правда, шансов на успех ничтожно мало).
Здесь дополнительно:
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [url=http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/]зеркала[/url]) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
файлы отчетов
[List][*] Отключите до перезагрузки антивирус.[*] Выделите следующий код:
[code]Start::
CreateRestorePoint:
HKLM-x32\...\Run: [2685542] => 2685542
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-125308519-2740093562-817059097-1002\...\MountPoints2: {97ddd2b4-9454-11e1-a156-806e6f6e6963} - E:\WPI.exe
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {842B4729-18E9-464A-8133-FE1C4DB87220} - System32\Tasks\BCRecover => bcdedit [Argument = /set {default} recoveryenabled No]
Task: {847E776C-267F-40AE-B4C9-80308F3A1E54} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
Task: {84958AFB-D7D8-4E87-9348-DB92E7DCE790} - System32\Tasks\WBadminBackupRestore => wbadmin [Argument = DELETE BACKUP -keepVersions:0]
Task: {9B05F0F2-EED3-474A-AF28-DAD9F328BA9D} - System32\Tasks\BCBoot => bcdedit [Argument = /set {default} bootstatuspolicy ignoreallfailures]
Task: {D6FBD478-4474-407C-8196-045020F8B8F9} - System32\Tasks\WBadminSystemRestore => wbadmin [Argument = DELETE SYSTEMSTATEBACKUP -keepVersions:0]
Task: {EAC48759-1928-4B14-B650-C1C76348531F} - System32\Tasks\WMICRestore => wmic SHADOWCOPY DELETE
BHO-x32: No Name -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> No File
2020-01-27 01:56 - 2020-01-27 01:56 - 000000096 _____ C:\README.txt
2020-01-27 01:53 - 2020-01-27 01:53 - 000000096 _____ C:\Users\ЮляП\README.txt
2020-01-27 01:53 - 2020-01-27 01:53 - 000000096 _____ C:\Users\ЮляП\Downloads\README.txt
2020-01-27 01:53 - 2020-01-27 01:53 - 000000096 _____ C:\Users\ЮляП\Documents\README.txt
2020-01-27 01:53 - 2020-01-27 01:53 - 000000096 _____ C:\Users\ЮляП\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2020-01-27 01:53 - 2020-01-27 01:53 - 000000096 _____ C:\Users\▐ы*╧\README.txt
2020-01-27 01:53 - 2020-01-27 01:53 - 000000096 _____ C:\Users\▐ы*╧\AppData\Roaming\README.txt
2020-01-27 01:53 - 2020-01-27 01:53 - 000000096 _____ C:\Users\▐ы*╧\AppData\README.txt
2020-01-27 01:53 - 2020-01-27 01:53 - 000000096 _____ C:\Users\▐ы*╧\AppData\Local\README.txt
2020-01-27 01:53 - 2020-01-27 01:53 - 000000096 _____ C:\Users\����\README.txt
2020-01-27 01:53 - 2020-01-27 01:53 - 000000096 _____ C:\Users\����\AppData\README.txt
2020-01-27 01:53 - 2020-01-27 01:53 - 000000096 _____ C:\Users\����\AppData\Local\README.txt
2020-01-27 01:34 - 2020-01-27 01:34 - 000000096 _____ C:\Users\ЮляП\Desktop\README.txt
2020-01-27 01:32 - 2020-01-27 01:32 - 000000096 _____ C:\Users\ЮляП\AppData\Roaming\README.txt
2020-01-27 01:32 - 2020-01-27 01:32 - 000000096 _____ C:\Users\ЮляП\AppData\README.txt
2020-01-27 01:21 - 2020-01-27 01:21 - 000000096 _____ C:\Users\ЮляП\AppData\LocalLow\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\ЮляП\AppData\Local\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\ЮляП\AppData\Local\Apps\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\user1\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\user1\Downloads\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\user1\Documents\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\user1\Desktop\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\user1\AppData\Roaming\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\user1\AppData\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\user1\AppData\LocalLow\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\user1\AppData\Local\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Public\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Public\Downloads\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default\Downloads\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default\Documents\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default\Desktop\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default\AppData\Roaming\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default\AppData\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default\AppData\LocalLow\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default\AppData\Local\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default User\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default User\Downloads\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default User\Documents\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default User\Desktop\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default User\AppData\Roaming\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default User\AppData\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default User\AppData\LocalLow\README.txt
2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default User\AppData\Local\README.txt
2020-01-27 00:54 - 2020-01-27 00:54 - 000000096 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2020-01-27 00:53 - 2020-01-27 00:53 - 000000096 _____ C:\Users\Все пользователи\README.txt
2020-01-27 00:53 - 2020-01-27 00:53 - 000000096 _____ C:\Users\Все пользователи\Documents\README.txt
2020-01-27 00:53 - 2020-01-27 00:53 - 000000096 _____ C:\Users\Все пользователи\Desktop\README.txt
2020-01-27 00:53 - 2020-01-27 00:53 - 000000096 _____ C:\Users\Public\Documents\README.txt
2020-01-27 00:53 - 2020-01-27 00:53 - 000000096 _____ C:\Users\Public\Desktop\README.txt
2020-01-27 00:53 - 2020-01-27 00:53 - 000000096 _____ C:\ProgramData\README.txt
2020-01-27 00:53 - 2020-01-27 00:53 - 000000096 _____ C:\ProgramData\Documents\README.txt
2020-01-27 00:53 - 2020-01-27 00:53 - 000000096 _____ C:\ProgramData\Desktop\README.txt
2020-01-27 00:53 - 2020-01-27 00:53 - 000000096 _____ C:\Program Files (x86)\README.txt
2020-01-27 00:48 - 2020-01-27 00:48 - 000000096 _____ C:\Program Files\README.txt
2020-01-27 00:47 - 2020-01-27 00:47 - 000000096 _____ C:\Users\README.txt
2020-01-27 00:47 - 2020-01-27 00:47 - 000000096 _____ C:\Program Files\Common Files\README.txt
2020-01-26 21:00 - 2018-01-15 03:56 - 000000028 _____ C:\Users\ЮляП\Desktop\Shadow.bat
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::[/code]
[*] Скопируйте выделенный текст (правой кнопкой - Копировать).[*] Запустите FRST (FRST64) от имени администратора.[*] Нажмите [B]Fix[/B] один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.[/List]
Компьютер будет перезагружен автоматически.
Пароль на RDP смените.
фикс файл
Если будете обращаться в вирлаб, пока не удаляйте папку C:\FRST.
Проверьте уязвимые места:
[LIST][*]Загрузите [B][URL=https://www.comss.ru/page.php?id=1813]SecurityCheck by glax24 & Severnyj[/URL][/B], сохраните утилиту на [I]Рабочем столе[/I] и извлеките из архива.[*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7/8/8.1/10[/I])[*]Если увидите [U]предупреждение от вашего фаервола или SmartScreen[/U] относительно программы SecurityCheck, не блокируйте ее работу[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B][*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите этот файл к своему следующему сообщению.[/LIST]
СекюритиЧек
------------------------------- [ Windows ] -------------------------------
[color=red][b]Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз[/b][/color]
Internet Explorer 9.0.8112.16421 [color=red][b]Внимание! [url=http://windows.microsoft.com/ru-ru/internet-explorer/ie-11-worldwide-languages]Скачать обновления[/url][/b][/color]
[color=blue][b]^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^[/b][/color]
[color=red][b]Контроль учётных записей пользователя [b]отключен[/b] (Уровень 1)[/b][/color]
[color=blue][b]^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]
[color=red][b]Автоматическое обновление отключено[/b][/color]
Дата установки обновлений: 2014-01-09 08:05:19
Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3177467]Скачать обновления[/url][/b][/color]
HotFix KB3125574 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3125574]Скачать обновления[/url][/b][/color]
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4499175 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175]Скачать обновления[/url][/b][/color]
HotFix KB4474419 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4474419]Скачать обновления[/url][/b][/color]
HotFix KB4490628 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4490628]Скачать обновления[/url][/b][/color]
HotFix KB4512486 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4512486]Скачать обновления[/url][/b][/color]
HotFix KB4534310 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4534310]Скачать обновления[/url][/b][/color]
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5.1 v.4.5.50938 [color=red][b]Внимание! [url=https://dotnet.microsoft.com/download/dotnet-framework/net48]Скачать обновления[/url][/b][/color]
Microsoft Office профессиональный плюс 2010 v.14.0.6029.1000 [color=red][b]Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до [url=https://products.office.com/ru-ru/]последней версии[/url] или используйте [url=https://products.office.com/ru-RU/office-online/]Office Online[/url] или [url=https://ru.libreoffice.org/download/]LibreOffice[/url][/b][/color]
Microsoft Office Professional Plus 2010 v.14.0.6029.1000 [color=red][b]Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до [url=https://products.office.com/ru-ru/]последней версии[/url] или используйте [url=https://products.office.com/ru-RU/office-online/]Office Online[/url] или [url=https://ru.libreoffice.org/download/]LibreOffice[/url][/b][/color]
-------------------------------- [ Arch ] ---------------------------------
WinRAR 4.11 (64-разрядная) v.4.11.0 [color=red][b]Внимание! [url=https://www.rarlab.com/download.htm]Скачать обновления[/url][/b][/color]
7-Zip 9.20 [color=red][b]Данная версия программы больше не поддерживается разработчиком.[/b][/color]. [b]Удалите старую версию, [url=https://www.7-zip.org/download.html]скачайте[/url] и установите новую.[/b]
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 24 ActiveX v.24.0.0.194 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ax.exe]Скачать обновления[/url][/b][/color]
Adobe Flash Player 24 NPAPI v.24.0.0.194 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player.exe]Скачать обновления[/url][/b][/color]
Adobe Shockwave Player 11.6 v.11.6.3.633 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
Safari v.5.34.57.2 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color]
---------------------------- [ UnwantedApps ] -----------------------------
Google Toolbar for Internet Explorer v.1.0.0 [color=blue][b]<< Скрыта[/b][/color] [color=red][b]Внимание! Панель для браузера.[/b][/color] Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
Skype Click to Call v.7.1.15383.6004 [color=red][b]Внимание! Панель для браузера.[/b][/color] Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.