Шифровальщик с расширением CRYPTED

Шифровальщик с расширением CRYPTED зашифровали все файлы

Уважаемый(ая) [B]Ruba[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Логи в переделать в консольной сессии прямо за компьютером.

Пароли от RDP смените

Файл [QUOTE]C:\Users\9335~1\AppData\Local\Temp\6\mnEi2FOS7wxM2dE.exe[/QUOTE]есть на компьютере?

Файла такого больше нет. Логи сделал.

[quote="Ruba;1189015"]Файла такого больше нет[/quote]Пробуйте восстановить из удаленных с помощью программ типа R-Studio

+ Картинку зашифрованную пришлите.

Восстановить не получается, а картинка во вложении.

[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*][/LIST]

Сделал.

[LIST=1][*]Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].[*]Откройте папку с распакованной утилитой [B]uVS[/B] и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт "[B]Запустить под текущим пользователем[/B]".[*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
[CODE]
;uVS v3.85 [http://dsrt.dyndns.org]
;Target OS: NTv6.0
v385c
zoo %SystemDrive%\USERS\PUBLIC\MUSIC\TEMPLATE\WASPPACER.EXE
addsgn 9252778A366AC1CC0BD4734EA34F0E79028AEA4128B348FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 48 Wasppacer

breg

delall %SystemDrive%\PROGRAMDATA\MPK\MPK.EXE
delall %SystemDrive%\RECYCLE\WINLOGON.EXE
zoo %SystemDrive%\RECYCLE.BIN\WASPPACER.EXE
delall %SystemDrive%\RECYCLE.BIN\WASPPACER.EXE
zoo %SystemDrive%\RECYCLE.BIN$\S-1-5-18-3-6-34-60\WASPPACER.EXE
delall %SystemDrive%\RECYCLE.BIN$\S-1-5-18-3-6-34-60\WASPPACER.EXE
zoo %SystemDrive%\USERS\DIRECTOR\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\CSQ36SL1\32165.EXE
delall %SystemDrive%\USERS\DIRECTOR\APPDATA\LOCAL\TEMP\8\18E2.TMP\WINLOGON.BAT
delall %SystemDrive%\USERS\DIRECTOR\APPDATA\ROAMING\WASPPACER.EXE
zoo %SystemDrive%\USERS\DIRECTOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\ACCESSIBILITY\1CV7S.EXE
delall %SystemDrive%\USERS\DIRECTOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\ACCESSIBILITY\1CV7S.EXE
zoo %SystemDrive%\USERS\DIRECTOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\ACCESSIBILITY\UPDATER.EXE
delall %SystemDrive%\USERS\DIRECTOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\ACCESSIBILITY\UPDATER.EXE
delall %SystemDrive%\USERS\DIRECTOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1C.LNK
delall %SystemDrive%\USERS\DIRECTOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FLYSYSTEMSECURE.LNK
zoo %SystemDrive%\USERS\ELENA\DESKTOP\CIPHER7.EXE
delall %SystemDrive%\USERS\ELENA\DESKTOP\CIPHER7.EXE
zoo %SystemDrive%\USERS\PUBLIC\MUSIC\TEMPLATE\WAS.VBS
delall %SystemDrive%\USERS\PUBLIC\MUSIC\TEMPLATE\WAS.VBS
delall %SystemDrive%\USERS\PUBLIC\MUSIC\TEMPLATE\WASPPACER.EXE
delall %SystemDrive%\USERS\PUBLIC\VIDEOS\SAMPLE~1\DESKTO~1.INI\PROFILES\456366~1\166926~1\MSVRYGAQ.EXE
delref %SystemDrive%\USERS\PUBLIC\VIDEOS\SAMPLE~1\DESKTO~1.INI\PROFILES\456366~1\166926~1\\MSVRYGAQ.EXE
zoo %SystemDrive%\USERS\YANA\DOWNLOADS\RECYCLE.BIN$.EXE
delall %SystemDrive%\USERS\YANA\DOWNLOADS\RECYCLE.BIN$.EXE
zoo %SystemDrive%\USERS\ZAMBUH\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\21RV3PGU\TEMPLATE.EXE
zoo %SystemDrive%\USERS\ZAMBUH\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\CSQ36SL1\TEMPLATE.EXE
zoo %SystemDrive%\USERS\ZAMBUH\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\JK74TJOO\TEMPLATE.EXE
delall %SystemDrive%\USERS\ZAMBUH\MUSIC\TEMP\0.BAT
zoo %SystemDrive%\USERS\ELENA\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\USERDATA\EXPLORER\EXPLORER.EXE
delall %SystemDrive%\USERS\ELENA\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\USERDATA\EXPLORER\EXPLORER.EXE
chklst
delvir

czoo
[/CODE][*]В [B]uVS[/B] выберите пункт меню "[B]Скрипт[/B]" => "[B]Выполнить скрипт находящийся в буфере обмена...[/B]"[*]Нажмите на кнопку "[B]Выполнить[/B]" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.[*]После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "[b]Прислать запрошенный карантин[/b]" над над первым сообщением в теме.[/LIST]

Сделайте новый лог uVS.

Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы (во время обновления [B][COLOR="#0000FF"]откажитесь[/COLOR][/B] от загрузки и установки новой версии), выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]

Файл сильно огромный получился, не прикрепляется :(

Удалите старые вложения через Мой кабинет => Вложения

Да файл получился 253 Мб

Упакуйте в архив. Если все равно не даст загрузить, то загрузите его на rghost, а здесь напишите ссылку на загрузку лога.

[скрыто] так пойдёт?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Вот ещё новый лог

А второй лог где?

Скину.

Ждем

Вот он!:)

В MBAM удалите все, [B][COLOR="#0000FF"]кроме[/COLOR][/B]:

[CODE]
Обнаруженные процессы в памяти: 1
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> 1600 -> Действие не было предпринято.

Обнаруженные файлы: 335
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
C:\Users\Администратор\Desktop\mini-KMS_Activator_v1.3_Office2010_VL_RUS.exe (Riskware.Crk) -> Действие не было предпринято.
C:\Users\Администратор\Desktop\Crack\mini-KMS_Activator_v1.3_Office2010_VL_ENG.exe (Riskware.Crk) -> Действие не было предпринято.
C:\Users\Администратор\Desktop\Crack\mini-KMS_Activator_v1.3_Office2010_VL_RUS.exe (Riskware.Crk) -> Действие не было предпринято.
[/CODE]

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.