Помогите, зашифровались все файлы *.crypted000007 [Trojan.Win32.Agent.nezeod, Trojan.Win32.Agent.nevnwq ]

**German.Alexeev** · 27.01.2018, 13:18

Зашифровались все файлы на пк после открытия письма (исходник найти вряд ли смогу), все важные фото теперь расширением .crypted000007
На столе появился файл где написано:
"Вaши файлы были зашифpoвaны.
Чтoбы pаcшифpовать иx, Вaм неoбxoдимo oтправить koд:
4A6EDF31E149AECE3943|0
на элeкmрoнный aдpeс [email protected]"
По инструкции, запустил Автологгер, прилагаю выходные данные.
Помогите!!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 27.01.2018, 13:19

Уважаемый(ая) German.Alexeev, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**German.Alexeev** · 27.01.2018, 13:21

Прилагаю лог

**mike 1** · 27.01.2018, 14:28

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 TerminateProcessByName('c:\programdata\drivers\csrss.exe');
 QuarantineFile('c:\programdata\drivers\csrss.exe','');
 TerminateProcessByName('c:\programdata\csrss\csrss.exe');
 QuarantineFile('c:\programdata\csrss\csrss.exe','');
 DeleteFile('c:\programdata\csrss\csrss.exe','32');
 DeleteFile('c:\programdata\drivers\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkSubsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Уведомление

Меняйте все пароли! Это важно.

Сделайте повторные логи по правилам

**German.Alexeev** · 27.01.2018, 19:00

Скрипты выполнил, карантин прислал, повторные логи прилагаю:

**mike 1** · 27.01.2018, 22:44

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**German.Alexeev** · 28.01.2018, 04:35

Сделал, прикрепил 2 лога

**mike 1** · 29.01.2018, 19:00

Почему Ваши пользователи работают с правами Администратора? И что-то не вижу, чтобы был установлен антивирус.

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
2017-11-22 23:00 - 2017-11-22 23:00 - 003148854 _____ C:\Users\Ольга\AppData\Roaming\97FB9DAD97FB9DAD.bmp
2017-11-22 23:00 - 2017-11-22 23:00 - 000004154 _____ C:\Users\Ольга\Desktop\README9.txt
2017-11-22 23:00 - 2017-11-22 23:00 - 000004154 _____ C:\Users\Ольга\Desktop\README8.txt
2017-11-22 23:00 - 2017-11-22 23:00 - 000004154 _____ C:\Users\Ольга\Desktop\README7.txt
2017-11-22 23:00 - 2017-11-22 23:00 - 000004154 _____ C:\Users\Ольга\Desktop\README6.txt
2017-11-22 23:00 - 2017-11-22 23:00 - 000004154 _____ C:\Users\Ольга\Desktop\README5.txt
2017-11-22 23:00 - 2017-11-22 23:00 - 000004154 _____ C:\Users\Ольга\Desktop\README4.txt
2017-11-22 23:00 - 2017-11-22 23:00 - 000004154 _____ C:\Users\Ольга\Desktop\README3.txt
2017-11-22 23:00 - 2017-11-22 23:00 - 000004154 _____ C:\Users\Ольга\Desktop\README2.txt
2017-11-22 23:00 - 2017-11-22 23:00 - 000004154 _____ C:\Users\Ольга\Desktop\README10.txt
2017-11-22 23:00 - 2017-11-22 23:00 - 000004154 _____ C:\Users\Public\Desktop\README9.txt
2017-11-22 23:00 - 2017-11-22 23:00 - 000004154 _____ C:\Users\Public\Desktop\README8.txt
2017-11-22 23:00 - 2017-11-22 23:00 - 000004154 _____ C:\Users\Public\Desktop\README7.txt
2017-11-22 23:00 - 2017-11-22 23:00 - 000004154 _____ C:\Users\Public\Desktop\README6.txt
2017-11-22 23:00 - 2017-11-22 23:00 - 000004154 _____ C:\Users\Public\Desktop\README5.txt
2017-11-22 23:00 - 2017-11-22 23:00 - 000004154 _____ C:\Users\Public\Desktop\README4.txt
2017-11-22 23:00 - 2017-11-22 23:00 - 000004154 _____ C:\Users\Public\Desktop\README3.txt
2017-11-22 23:00 - 2017-11-22 23:00 - 000004154 _____ C:\Users\Public\Desktop\README2.txt
2017-11-22 23:00 - 2017-11-22 23:00 - 000004154 _____ C:\Users\Public\Desktop\README10.txt
2017-11-22 23:00 - 2017-11-22 23:00 - 000004154 _____ C:\Users\Public\Desktop\README1.txt
2017-11-21 22:46 - 2017-11-21 22:46 - 000004154 _____ C:\README9.txt
2017-11-21 22:46 - 2017-11-21 22:46 - 000004154 _____ C:\README8.txt
2017-11-21 22:46 - 2017-11-21 22:46 - 000004154 _____ C:\README7.txt
2017-11-21 22:46 - 2017-11-21 22:46 - 000004154 _____ C:\README6.txt
2017-11-21 22:46 - 2017-11-21 22:46 - 000004154 _____ C:\README5.txt
2017-11-21 22:46 - 2017-11-21 22:46 - 000004154 _____ C:\README4.txt
2017-11-21 22:46 - 2017-11-21 22:46 - 000004154 _____ C:\README3.txt
2017-11-21 22:46 - 2017-11-21 22:46 - 000004154 _____ C:\README2.txt
2017-11-21 22:46 - 2017-11-21 22:46 - 000004154 _____ C:\README10.txt
2017-11-21 22:46 - 2017-11-21 22:46 - 000004154 _____ C:\README1.txt
2017-11-21 22:45 - 2018-01-09 02:42 - 000000000 __SHD C:\Users\Все пользователи\Windows
2017-11-21 22:45 - 2018-01-09 02:42 - 000000000 __SHD C:\ProgramData\Windows
2014-03-22 10:58 - 2014-03-22 10:58 - 000000006 _____ () C:\Users\Ольга\AppData\Roaming\smw_inst
2017-11-22 23:01 - 2017-11-22 23:01 - 001032704 _____ (Microsoft Corporation) C:\Users\Ольга\AppData\Local\Temp\24424E88.exe
2017-11-22 23:02 - 2017-11-22 23:02 - 000887808 _____ (Microsoft Corporation) C:\Users\Ольга\AppData\Local\Temp\616FA743.exe
Task: {4E56D1A1-21EB-4B14-BF16-70ECD2F92D63} - System32\Tasks\MailRuUpdateTask => C:\Users\Ольга\AppData\Local\Mail.Ru\MailRuUpdater.exe <==== ATTENTION

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

**German.Alexeev** · 01.02.2018, 23:53

Готово

**mike 1** · 02.02.2018, 18:47

С расшифровкой не поможем.

**German.Alexeev** · 02.02.2018, 19:41

Правильно ли я понял, что тело вируса благодаря Вашим инструкциям удалено и теперь можно попробовать расшифровать файлы с помощью бесплатных утилит Касперского (типа RannohDecryptor и т.д)?

**mike 1** · 03.02.2018, 10:42

Компьютер Вам почистили, а расшифровки для этого шифровальщика нет. Помогут только сами злодеи, либо их посредники, которые у них же выкупают ключи с дешифраторами, но берут за это нехилую наценку. Можете почитать если интересно https://virusinfo.info/showthread.php?t=180742

**German.Alexeev** · 03.02.2018, 10:49

Ну что ж, будет мне уроком)
Спасибо большое за помощь!

**CyberHelper** · 03.02.2018, 10:59

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения обнаружены вредоносные программы:
1. c:\programdata\csrss\csrss.exe - Trojan.Win32.Agent.nevnwq ( BitDefender: Gen:Trojan.Heur.@mKfX4Dtz1dc, AVAST4: Win32:Malware-gen )
2. c:\programdata\drivers\csrss.exe - Trojan.Win32.Agent.nezeod ( BitDefender: Gen:Trojan.Heur.2mKfXadFIYgc )

Помогите, зашифровались все файлы *.crypted000007 [Trojan.Win32.Agent.nezeod, Trojan.Win32.Agent.nevnwq ] (заявка № 217397)

Опции темы