Здравствуйте! Каким-то образом на компьютер попал шифровальщик [email protected] и зашифровал все файлы. Тип файлов "Файл "CRYPTED000007" Просьба помочь с расшифровкой. ВЫполнял инструкции согласно https://virusinfo.info/content.php?r=136-pravila.
Архив сканирования приложен. CollectionLog-2017.05.04-11.06
Спасибо
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) anbu, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\elex-tech\yac\uninstall.exe',''); QuarantineFile('C:\Program Files\winarcher\archer.dll',''); QuarantineFile('C:\Program Files\elex-tech\yac\isafebugreport.exe',''); QuarantineFile('C:\Program Files\elex-tech\yac\idesk.exe',''); QuarantineFile('C:\Program Files\elex-tech\yac\curlpp.dll',''); QuarantineFile('C:\Program Files\elex-tech\yac\bugreport.exe',''); QuarantineFile('C:\Program Files\contentprotector\nss\certutil.exe',''); QuarantineFile('C:\Program Files\contentprotector\nfregdrv.exe',''); QuarantineFile('C:\Program Files\contentprotector\import_root_cert.exe',''); QuarantineFile('C:\Program Files\contentprotector\contentprotectorconrol.exe',''); QuarantineFile('C:\Program Files\contentprotector\condefclean.exe',''); QuarantineFile('C:\Program Files\amulell\ed2k.exe',''); QuarantineFile('C:\Program Files\amulec1\ed2k.exe',''); QuarantineFile('C:\Users\ykutinov\appdata\roaming\imagecropresize\imageed\imageed.exe',''); QuarantineFile('C:\Users\ykutinov\appdata\local\kitty\cat.exe',''); QuarantineFile('C:\ProgramData\wintools\WintoolUprI.exe',''); QuarantineFile('C:\Program Files\Anaqatoch\Anqhsttask.exe',''); QuarantineFile('C:\windows\psgo\psgo.ps1',''); QuarantineFile('C:\Users\ykutinov\AppData\Roaming\WINSNARE\WinSnare.dll',''); QuarantineFile('C:\Users\ykutinov\AppData\Roaming\WinSAPSvc\WinSAP.dll',''); QuarantineFile('C:\Users\ykutinov\AppData\Local\SNARER\Snarer.dll',''); QuarantineFile('C:\Users\ykutinov\AppData\Local\SNAREA\Snare.dll',''); QuarantineFile('C:\Users\ykutinov\AppData\Local\SNARE\Snare.dll',''); QuarantineFile('C:\Users\ykutinov\AppData\Local\SANARE\Snare.dll',''); QuarantineFile('C:\Users\ykutinov\AppData\Local\Kitty\Kitty.dll',''); QuarantineFile('C:\Program Files\Gub\GubZL.dll',''); QuarantineFile('C:\Program Files\Gubed\GubedZL.dll',''); QuarantineFile('C:\Program Files\bilibili\bilibili.dll',''); QuarantineFile('C:\Users\ykutinov\AppData\Local\background_fault\bf.dll',''); QuarantineFile('C:\Users\ykutinov\AppData\Local\background_fault\aswRD.exe',''); SetServiceStart('ContentProtectorDrv', 4); SetServiceStart('iSafeKrnl', 4); SetServiceStart('iSafeKrnlKit', 4); SetServiceStart('iSafeKrnlMon', 4); SetServiceStart('iSafeKrnlR3', 4); SetServiceStart('iSafeNetFilter', 4); DeleteService('iSafeNetFilter'); DeleteService('iSafeKrnlR3'); DeleteService('iSafeKrnlMon'); DeleteService('iSafeKrnlKit'); DeleteService('iSafeKrnl'); DeleteService('ContentProtectorDrv'); QuarantineFile('C:\Users\ykutinov\AppData\Local\AMD\amd.exe',''); SetServiceStart('AMD', 4); DeleteService('AMD'); SetServiceStart('Kyubey', 4); DeleteService('Kyubey'); SetServiceStart('FirefoxU', 4); DeleteService('FirefoxU'); SetServiceStart('clean', 4); DeleteService('clean'); QuarantineFile('C:\Windows\system32\DRIVERS\iSafeNetFilter.sys',''); QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlR3.sys',''); QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys',''); QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlKit.sys',''); QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeKrnl.sys',''); QuarantineFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys',''); TerminateProcessByName('c:\program files\firefox\bin\firefoxupdate.exe'); TerminateProcessByName('c:\windows\system32\config\systemprofile\appdata\roaming\kyubey\kyubey.exe'); QuarantineFile('c:\windows\system32\config\systemprofile\appdata\roaming\kyubey\kyubey.exe',''); TerminateProcessByName('c:\users\ykutinov\appdata\local\clean\kyubey.exe'); QuarantineFile('c:\users\ykutinov\appdata\local\clean\kyubey.exe',''); QuarantineFile('c:\program files\firefox\bin\firefoxupdate.exe',''); DeleteFile('c:\program files\firefox\bin\firefoxupdate.exe','32'); DeleteFile('c:\users\ykutinov\appdata\local\clean\kyubey.exe','32'); DeleteFile('c:\windows\system32\config\systemprofile\appdata\roaming\kyubey\kyubey.exe','32'); DeleteFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys','32'); DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeKrnl.sys','32'); DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlKit.sys','32'); DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys','32'); DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlR3.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\iSafeNetFilter.sys','32'); DeleteFile('C:\Users\ykutinov\AppData\Local\AMD\amd.exe','32'); DeleteFile('C:\Program Files\Gubed\GubedZL.dll','32'); DeleteFile('C:\Program Files\Gub\GubZL.dll','32'); DeleteFile('C:\Users\ykutinov\AppData\Local\Kitty\Kitty.dll','32'); DeleteFile('C:\Users\ykutinov\AppData\Local\SANARE\Snare.dll','32'); DeleteFile('C:\Users\ykutinov\AppData\Local\SNARE\Snare.dll','32'); DeleteFile('C:\Users\ykutinov\AppData\Local\SNAREA\Snare.dll','32'); DeleteFile('C:\Users\ykutinov\AppData\Local\SNARER\Snarer.dll','32'); DeleteFile('C:\Users\ykutinov\AppData\Roaming\WinSAPSvc\WinSAP.dll','32'); DeleteFile('C:\Users\ykutinov\AppData\Roaming\WINSNARE\WinSnare.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WINSNARE\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SNARER\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SNAREA\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SNARE\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SANARE\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Kitty\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\GubZL\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\GubedZL\Parameters','ServiceDll'); DeleteFile('C:\Windows\system32\Tasks\Milimili','32'); DeleteFile('C:\Windows\system32\Tasks\UncheckitTaskMN','32'); DeleteFile('C:\Windows\system32\Tasks\UncheckitUpdateTaskC','32'); DeleteFile('C:\Windows\system32\Tasks\UncheckitUpdateTaskDB','32'); DeleteFile('C:\Windows\system32\Tasks\Windows-PG','32'); DeleteFile('C:\windows\psgo\psgo.ps1','32'); DeleteFile('C:\Windows\system32\Tasks\Anaqatoch Host','32'); DeleteFile('C:\Program Files\Anaqatoch\Anqhsttask.exe','32'); DeleteFile('C:\Windows\system32\Tasks\BikaQ_FetchAndUpgrade_CanBeDel','32'); DeleteFile('C:\Windows\system32\Tasks\WinTOOL','32'); DeleteFile('C:\ProgramData\wintools\WintoolUprI.exe','32'); DeleteFile('C:\Users\ykutinov\appdata\local\kitty\cat.exe','32'); DeleteFile('C:\Users\ykutinov\appdata\roaming\imagecropresize\imageed\imageed.exe','32'); DeleteFile('C:\Program Files\amulec1\ed2k.exe','32'); DeleteFile('C:\Program Files\amulell\ed2k.exe','32'); DeleteFile('C:\Program Files\bilibili\bilibili.dll','32'); DeleteFile('C:\Program Files\contentprotector\condefclean.exe','32'); DeleteFile('C:\Program Files\contentprotector\contentprotectorconrol.exe','32'); DeleteFile('C:\Program Files\contentprotector\import_root_cert.exe','32'); DeleteFile('C:\Program Files\contentprotector\libeay32.dll','32'); DeleteFile('C:\Program Files\contentprotector\nfregdrv.exe','32'); DeleteFile('C:\Program Files\contentprotector\nss\certutil.exe','32'); DeleteFile('C:\Program Files\contentprotector\nss\mozcrt19.dll','32'); DeleteFile('C:\Program Files\contentprotector\nss\nspr4.dll','32'); DeleteFile('C:\Program Files\contentprotector\nss\nss3.dll','32'); DeleteFile('C:\Program Files\contentprotector\nss\plc4.dll','32'); DeleteFile('C:\Program Files\contentprotector\nss\plds4.dll','32'); DeleteFile('C:\Program Files\contentprotector\nss\smime3.dll','32'); DeleteFile('C:\Program Files\contentprotector\nss\softokn3.dll','32'); DeleteFile('C:\Program Files\contentprotector\ssleay32.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\bugreport.exe','32'); DeleteFile('C:\Program Files\elex-tech\yac\curlpp.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\icommon.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\icommu.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\iddmgr.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\idesk.exe','32'); DeleteFile('C:\Program Files\elex-tech\yac\idskdllpatch.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\idskdllpatch64.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\ipcdl.exe','32'); DeleteFile('C:\Program Files\elex-tech\yac\ipcproxy.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafeadfv.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafebugreport.exe','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafechlp.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafeclc.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafeclcv.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafeclean.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafedisp.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafeenginebase.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafeenginedisp.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafe.exe','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafekrnlboot.sys','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafekrnlcall.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafekrnlkit.sys','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafekrnlmoncall.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafekrnlmon.sys','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafekrnlr3.sys','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafekrnlshell.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafekrnl.sys','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafemadwc.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafembp.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafemc.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafemclv.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafemgc.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafemon.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafemoptv.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafemsmv.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafemvsv.dll','32'); DeleteFile('C:\Program Files\winarcher\archer.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\uninstall.exe','32'); DeleteFile('C:\Program Files\elex-tech\yac\libpng.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\ssleay32.dll','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Ваши права в разделе
Ответить с цитированием
