Закрыто Шифровальщик (.crypto)

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Nevermind, 31 янв 2014.

Статус темы:
Закрыта.
  1. Nevermind
    Оффлайн

    Nevermind Новый пользователь

    Сообщения:
    4
    Симпатии:
    0
    Зашифровал все документы, добавив расширение .crypto и оставил сообщение:
    Лог прикладываю.

    Зашифрованные файлы сохранил, на случай возможности расшифровки. В принципе готов снести нафиг всю систему и установить заново, но боюсь - не помешает ли это расшифровке потом?
     

    Вложения:

  2. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.463
    Симпатии:
    3.095
    Как раз разбираю подобный шифровальщик. На анализ нужно время
    Потому прошу сохранить зашифрованные файлы

    Выполните скрипт в AVZ
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    TerminateProcessByName('c:\users\sveltha\appdata\local\nvidia corporation\update\daemonupd.exe');
    TerminateProcessByName('c:\users\sveltha\appdata\roaming\dlvpf.exe');
    QuarantineFile('C:\Users\Sveltha\AppData\Roaming\dlVPF.exe','');
    QuarantineFile('C:\Users\Sveltha\AppData\Local\Google\Update\gupdate.exe','');
    QuarantineFile('C:\Users\Sveltha\AppData\Local\Microsoft\Windows\winupdate.exe','');
    QuarantineFile('C:\Users\Sveltha\AppData\Local\NVIDIA Corporation\Update\daemonupd.exe','');
    QuarantineFile('c:\users\sveltha\appdata\local\nvidia corporation\update\daemonupd.exe','');
    QuarantineFile('c:\users\sveltha\appdata\roaming\dlvpf.exe','');
    DeleteFile('c:\users\sveltha\appdata\roaming\dlvpf.exe','32');
    DeleteFile('c:\users\sveltha\appdata\local\nvidia corporation\update\daemonupd.exe','32');
    DeleteFile('C:\Users\Sveltha\AppData\Local\NVIDIA Corporation\Update\daemonupd.exe','32');
    DeleteFile('C:\Users\Sveltha\AppData\Local\Microsoft\Windows\winupdate.exe','32');
    DeleteFile('C:\Users\Sveltha\AppData\Roaming\dlVPF.exe','32');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Google Update');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NvUpdService');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RedSHDrv');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Выполните скрипт в AVZ
    Код (Text):
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    Отправьте c:\quarantine.zip при помощи этой формы

    Сделайте новые логи
     
  3. Nevermind
    Оффлайн

    Nevermind Новый пользователь

    Сообщения:
    4
    Симпатии:
    0
    Сделал, вот новый лог.
     

    Вложения:

  4. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.463
    Симпатии:
    3.095
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
     
  5. Nevermind
    Оффлайн

    Nevermind Новый пользователь

    Сообщения:
    4
    Симпатии:
    0
    Сделал, вот лог
     

    Вложения:

  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.433
    Симпатии:
    13.941
    Проверьте на https://www.virustotal.com/ru/ и дайте ссылки на результаты анализа
     
  7. Nevermind
    Оффлайн

    Nevermind Новый пользователь

    Сообщения:
    4
    Симпатии:
    0
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.433
    Симпатии:
    13.941
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\Sveltha\Local Settings\Application Data\Google\Update\gupdate.exe','Trojan.Encoder.293');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте при помощи этой формы


    После того как отправите карантин удалите все, что нашел MBAM
     
Статус темы:
Закрыта.

Поделиться этой страницей