Показано с 1 по 12 из 12.

Расшифровка email-mserbinov@aol.com-ver-5.0.0.0. [Trojan-Ransom.Win32.Cryakl.bo ] (заявка № 170252)

  1. #1
    Junior Member Репутация
    Регистрация
    05.11.2014
    Сообщений
    5
    Вес репутации
    12

    Расшифровка email-mserbinov@aol.com-ver-5.0.0.0. [Trojan-Ransom.Win32.Cryakl.bo ]

    Добрый вечер,
    схватили шифровальщика, что тот даже базы 1С зашифровал, не говоря уж а WORD, EXCEL файлах.
    За компьютерам была девушка, даже не поняли, как все произошло...
    Скидываю логи и очень надеюсь на Вашу помощь!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,464
    Вес репутации
    343
    Уважаемый(ая) CrownFreak, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,525
    Вес репутации
    3021
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Users\Марина Викторовна\AppData\Local\Schedule\Schedule.exe','');
     DeleteFile('C:\Users\Марина Викторовна\AppData\Local\Schedule\Schedule.exe','32');
     QuarantineFile('C:\Program Files (x86)\youfiles\svchost.exe','');
     QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','');
     QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','');
     DeleteFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','32');
     DeleteFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','32');
     DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url','32');
     DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32');
     DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
     DeleteFile('C:\Program Files (x86)\youfiles\svchost.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','progrmma');
     DeleteFile('C:\windows\system32\Tasks\Daily Trigger ScheduleCD','64');
    DeleteFileMask('C:\PROGRA~2\SupTab', '*', true);
    DeleteDirectory('C:\PROGRA~2\SupTab');
    DeleteFileMask('C:\Program Files (x86)\youfiles', '*', true);
    DeleteDirectory('C:\Program Files (x86)\youfiles');
    DeleteFileMask('C:\Users\Марина Викторовна\AppData\Local\Schedule', '*', true);
    DeleteDirectory('C:\Users\Марина Викторовна\AppData\Local\Schedule');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Сделайте логи RSIT
    Сделайте такой лог
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    05.11.2014
    Сообщений
    5
    Вес репутации
    12
    Цитата Сообщение от thyrex Посмотреть сообщение
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Users\Марина Викторовна\AppData\Local\Schedule\Schedule.exe','');
     DeleteFile('C:\Users\Марина Викторовна\AppData\Local\Schedule\Schedule.exe','32');
     QuarantineFile('C:\Program Files (x86)\youfiles\svchost.exe','');
     QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','');
     QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','');
     DeleteFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','32');
     DeleteFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','32');
     DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url','32');
     DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32');
     DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
     DeleteFile('C:\Program Files (x86)\youfiles\svchost.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','progrmma');
     DeleteFile('C:\windows\system32\Tasks\Daily Trigger ScheduleCD','64');
    DeleteFileMask('C:\PROGRA~2\SupTab', '*', true);
    DeleteDirectory('C:\PROGRA~2\SupTab');
    DeleteFileMask('C:\Program Files (x86)\youfiles', '*', true);
    DeleteDirectory('C:\Program Files (x86)\youfiles');
    DeleteFileMask('C:\Users\Марина Викторовна\AppData\Local\Schedule', '*', true);
    DeleteDirectory('C:\Users\Марина Викторовна\AppData\Local\Schedule');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Сделайте логи RSIT
    Сделайте такой лог
    Высылаю Вам новые логи.
    И я обнаружил подозрительный архив Attachment.zip, который я просканировал на virustotal.com и может быть он является источником заражения...
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,319
    Вес репутации
    1028
    Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1396344160&from=cor&uid=ST9320325AS_S2WN89K6XXXXS2WN89K6&q={searchTerms}
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1396344160&from=cor&uid=ST9320325AS_S2WN89K6XXXXS2WN89K6&q={searchTerms}
    O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
    O4 - Global Startup: cimei.lnk = ?
    Удалите в MBAM все, кроме:

    Код:
    Files: 19
    Trojan.Banker, C:\Program Files (x86)\Photo Stamp Remover\StampRemover.exe, , [02994aec314bd165c2fb1e9ae21e06fa],
    2014-11-05 13:12:56 ----D---- C:\Program Files (x86)\Судебные решения РФ
    Пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    И я обнаружил подозрительный архив Attachment.zip
    Пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Удалите файлы:

    C:\Program Files (x86)\Mozilla Firefox\firefox.url
    C:\Program Files (x86)\Google\Chrome\Application\chrome.url
    Пересоздайте ярлыки:

    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
    1. Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите sitlog.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
    5. По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
    6. Прикрепите эти отчеты в вашей теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Бесплатная комплексная защита на 45 дней => https://goo.gl/1yHAAg

  7. #6
    Junior Member Репутация
    Регистрация
    05.11.2014
    Сообщений
    5
    Вес репутации
    12
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1396344160&from=cor&uid=ST9320325AS_S2WN89K6XXXXS2WN89K6&q={searchTerms}
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1396344160&from=cor&uid=ST9320325AS_S2WN89K6XXXXS2WN89K6&q={searchTerms}
    O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
    O4 - Global Startup: cimei.lnk = ?
    Удалите в MBAM все, кроме:

    Код:
    Files: 19
    Trojan.Banker, C:\Program Files (x86)\Photo Stamp Remover\StampRemover.exe, , [02994aec314bd165c2fb1e9ae21e06fa],

    Пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы


    Пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Удалите файлы:



    Пересоздайте ярлыки:



    1. Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите sitlog.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
    5. По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
    6. Прикрепите эти отчеты в вашей теме.
    Данные строчки профиксил.
    В MBAM все удалил, но появился еще один троян, который я тоже не стал пока удалять, чтобы ничего не испортить...
    Карантины тоже отправил. В пути, прошел по папкам дальше и обнаружил файл svchost.exe, запаковал его в архив и отправил согласно пункту 2 в карантин 2014-11-05 13:12:56 ----D---- C:\Program Files (x86)\Судебные решения РФ\коллегия судебных приставов
    Файлов в данных папках нет.
    Удалите файлы:

    C:\Program Files (x86)\Mozilla Firefox\firefox.url
    C:\Program Files (x86)\Google\Chrome\Application\chrome.url



    Ярлыки пересоздал
    Вложения Вложения

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,319
    Вес репутации
    1028
    05.11.2014 13:12:56 ----D---- C:\Program Files (x86)\Судебные решения РФ
    Папку удаляйте. С расшифровкой не поможем. У DrWeb есть небольшой прогресс в расшифровке файлов Cryakl, поэтому рекомендую обратиться в их техподдержку.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Бесплатная комплексная защита на 45 дней => https://goo.gl/1yHAAg

  9. #8
    Junior Member Репутация
    Регистрация
    05.11.2014
    Сообщений
    5
    Вес репутации
    12
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Папку удаляйте. С расшифровкой не поможем. У DrWeb есть небольшой прогресс в расшифровке файлов Cryakl, поэтому рекомендую обратиться в их техподдержку.
    Сказанную Вами папку удалил. Подскажите какой программой можно расшифровать файлы?
    И какова вероятность, что они расшифруются?

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,525
    Вес репутации
    3021
    Вам написали
    Цитата Сообщение от mike 1 Посмотреть сообщение
    У DrWeb есть небольшой прогресс в расшифровке файлов Cryakl, поэтому рекомендую обратиться в их техподдержку.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    05.11.2014
    Сообщений
    5
    Вес репутации
    12
    Цитата Сообщение от thyrex Посмотреть сообщение
    Вам написали
    Thyrex, понимаете, вчера списывались со злоумышленником, он просит 10000р. а у нас нет денег ему отправить и не уверены в том что он отправит этот злодейский дешифратор нам, после перевода денег, а у нас на компьютере 1С и все важные документы....
    И если не сложно, объясните пожалуйста, как грамотнее обратиться в доктор веб? Надо что-то покупать у них для обращения с помощью в расшифровке?

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,319
    Вес репутации
    1028
    И если не сложно, объясните пожалуйста, как грамотнее обратиться в доктор веб? Надо что-то покупать у них для обращения с помощью в расшифровке?
    1. Покупаете лицензию на год на их антивирус, например здесь http://catalog.allsoft.ru/677/64025.

    2. Пишите сюда https://support.drweb.com/new/free_u...=&for_decode=1 запрос и ждете ответа от их техподдержки.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Бесплатная комплексная защита на 45 дней => https://goo.gl/1yHAAg

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. \attachment.scr - Trojan-Ransom.Win32.Cryakl.bo ( BitDefender: Trojan.GenericKD.1961352 )
      2. \svchost.exe - Trojan-Ransom.Win32.Cryakl.bo ( BitDefender: Gen:Variant.Strictor.64596, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) CrownFreak, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Расшифровка email-mserbinov@aol.com-ver-5.0.0.0.
      От maxster в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 06.11.2014, 17:38
    2. Ответов: 6
      Последнее сообщение: 06.11.2014, 15:01
    3. Вирус email-mserbinov@aol.com-ver-4.0.0.0.cbf
      От Михаил Воронский в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 06.08.2014, 23:56
    4. Вирус шифратор email-mserbinov@aol.com-ver-4.0.0.0.cbf
      От Сергей Пивоваров в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 06.08.2014, 23:55
    5. Блокировщик email-mserbinov@aol.com-ver-4.0.0.0.cbf
      От Сергей Пивоваров в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.08.2014, 18:06

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00205 seconds with 17 queries