Зашифрованы файлы mr.cripton [Trojan.MSIL.Zapchast.aadns ]

**Artwild** · 24.03.2015, 16:41

Добрый день. Помогите решить проблему. После того как я несознательный гражданин посидел за компьютером, якобы в одноклассниках, на обоях появилось вымогательство, а файлы стали зашифрованы. Проверка штатным антивирусом (panda cloud) а потом в безопасном режиме утилитами от Касперского и др.веб ничего не выявила. В автозапуске нашел файл блокнота, который вылазит сам по себе!

Так же в автозагрузке был исполняемый файл 8dc7d467bc6cdc67d62a1cd4fa9a5a83.exe который некоторые антивирусы определили как Trojan.MSIL.Zapchast. Сбор данных был крайне затруднителен так как после подключения к интернету папки с собранными отчетами и утилиты авз и т д удалялись автоматически. И даже когда добирался до автозагрузки, все окна автоматически закрывались. Названия файлов не изменены, просто расширение изменилось на *.cpt

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 24.03.2015, 16:42

Уважаемый(ая) Artwild, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 24.03.2015, 17:56

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 QuarantineFile('C:\Users\Andre\appdata\roaming\microsoft\windows\start menu\programs\startup\8dc7d467bc6cdc67d62a1cd4fa9a5a83.exe','');
 QuarantineFile('C:\Users\Andre\appdata\roaming\iexplorer.exe','');
 QuarantineFile('C:\Users\Andre\Start Menu\Programs\Startup\8dc7d467bc6cdc67d62a1cd4fa9a5a83.exe','');
 QuarantineFile('C:\Users\Andre\AppData\Roaming\iexplorer.exe','');
 QuarantineFile('C:\Users\Andre\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8dc7d467bc6cdc67d62a1cd4fa9a5a83.exe','');
 TerminateProcessByName('c:\users\andre\appdata\roaming\iexplorer.exe');
 QuarantineFile('c:\users\andre\appdata\roaming\iexplorer.exe','');
 DeleteFile('c:\users\andre\appdata\roaming\iexplorer.exe','32');
 DeleteFile('C:\Users\Andre\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8dc7d467bc6cdc67d62a1cd4fa9a5a83.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','8dc7d467bc6cdc67d62a1cd4fa9a5a83');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','8dc7d467bc6cdc67d62a1cd4fa9a5a83');
 DeleteFile('C:\Users\Andre\AppData\Roaming\iexplorer.exe','32');
 DeleteFile('C:\Users\Andre\Start Menu\Programs\Startup\8dc7d467bc6cdc67d62a1cd4fa9a5a83.exe','32');
 DeleteFile('C:\Users\Andre\appdata\roaming\iexplorer.exe','32');
 DeleteFile('C:\Users\Andre\appdata\roaming\microsoft\windows\start menu\programs\startup\8dc7d467bc6cdc67d62a1cd4fa9a5a83.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

**Artwild** · 24.03.2015, 18:14

Карантин загрузил, файлы отчетов прилагаю.

**mike 1** · 24.03.2015, 22:19

Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

**Artwild** · 25.03.2015, 12:25

Готово.

**mike 1** · 25.03.2015, 16:08

С расшифровкой помочь не сможем, возможно в техподдержке DrWeb смогут помочь.

**Artwild** · 25.03.2015, 16:18

Ок, спасибо за помощь с лечением, а расшифровка вроде и не нужна уже, бэкап данных нашел, почти все что нужно.

**mike 1** · 25.03.2015, 22:13

Ну хоть у кого-то бекап оказался.

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

**CyberHelper** · 25.03.2015, 22:23

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 3
В ходе лечения обнаружены вредоносные программы:
1. c:\users\andre\appdata\roaming\iexplorer.exe - Trojan.MSIL.Zapchast.aadns ( AVAST4: Win32:Malware-gen )
2. c:\users\andre\appdata\roaming\microsoft\windows\s tart menu\programs\startup\8dc7d467bc6cdc67d62a1cd4fa9a 5a83.exe - Trojan.MSIL.Zapchast.aadns ( AVAST4: Win32:Malware-gen )
3. c:\users\andre\start menu\programs\startup\8dc7d467bc6cdc67d62a1cd4fa9a 5a83.exe - Trojan.MSIL.Zapchast.aadns ( AVAST4: Win32:Malware-gen )

Зашифрованы файлы mr.cripton [Trojan.MSIL.Zapchast.aadns ] (заявка № 180375)

Опции темы

Зашифрованы файлы mr.cripton [Trojan.MSIL.Zapchast.aadns ]

Это понравилось:

Это понравилось:

Итог лечения

Похожие темы

Чёрный экран, надпись красными буквами "Все файлы зашифрованы,читайте README...". Все файлы зашифровались в файлы XTBL. Проверка Касперским и Dr.Web не дали результата.

Файлы на компьютере зашифрованы [email protected] [Trojan.MSIL.Zapchast.zrnj ]

Появляется окно при загрузке компьютера о том что файлы зашифрованы, но файлы пока не зашифрованы!

Файлы зашифрованы Cripton

Ваши права в разделе