Закрыто Помогите подобрать дешифратор, после вируса файлы стали с копиями, а копии с расширением id-7717141775402362-paycrypt@aol

Статус
В этой теме нельзя размещать новые ответы.

Игорь17

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
Приложил к сообщению архив с фотографией и её теневой копией которая создалась после заражения вирусом1547137305783.png
 

Вложения

akok

Команда форума
Администратор
Сообщения
16,396
Реакции
13,021
Баллы
2,203
Попросил коллег посмотреть зашифрованные файлы, а пока удалим адварь

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('ContentProtectorDrv', 4);
 SetServiceStart('ContentProtectorUpdate', 4);
 QuarantineFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys', '');
 QuarantineFile('C:\Windows\system32\ie4uinit.exe', '');
 DeleteFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys', '64');
 DeleteService('ContentProtectorDrv');
 DeleteService('ContentProtectorUpdate');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wxqxacqzfd', 'x64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
16,396
Реакции
13,021
Баллы
2,203
Если используете приблуды от Mail.ru, то снимите соотвестствующие галочки

  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать"), а по окончании сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,752
Реакции
1,735
Баллы
503
Да. Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Post automatically merged:

Если есть текстовый (или html) файл с требованием выкупа, его тоже прикрепите к следующему сообщению.
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,914
Баллы
998
Если есть текстовый (или html) файл с требованием выкупа, его тоже прикрепите к следующему сообщению.
скорее там будет картинка на рабочем столе.
@Игорь17, лицензия на др. Веба или другой антивирус есть?
 

Игорь17

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
скорее там будет картинка на рабочем столе.
@Игорь17, лицензия на др. Веба или другой антивирус есть?
вообще никакого нет и не было на момент заражения
Post automatically merged:

Да. Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Post automatically merged:

Если есть текстовый (или html) файл с требованием выкупа, его тоже прикрепите к следующему сообщению.
Вот отчеты, картинки с выкупом или текстового файла не было. Может не успел вирус тогда закинуть, потому что я как увидел, что файлы блокируются сразу компьютер выключил.
 

Вложения

Последнее редактирование:

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,752
Реакции
1,735
Баллы
503
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2016-05-14 10:35 - 2016-05-14 10:35 - 000000001 _RHOT () C:\Program Files\ContentProtector
    2016-05-14 10:35 - 2016-05-14 10:35 - 000000001 _RHOT () C:\Program Files\UBar
    2016-05-14 10:35 - 2016-05-14 10:35 - 000000001 _RHOT () C:\Users\Home\AppData\Roaming\ImageCropResize
    FirewallRules: [{2D427C21-6B2F-437C-8331-575B53EF3D0F}] => (Allow) C:\Users\Home\AppData\Local\MediaGet2\mediaget.exe No File
    FirewallRules: [{0C68BD68-EF3F-46F2-98E4-AB41EC237FA2}] => (Allow) C:\Users\Home\AppData\Local\MediaGet2\mediaget.exe No File
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Игорь17

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2016-05-14 10:35 - 2016-05-14 10:35 - 000000001 _RHOT () C:\Program Files\ContentProtector
    2016-05-14 10:35 - 2016-05-14 10:35 - 000000001 _RHOT () C:\Program Files\UBar
    2016-05-14 10:35 - 2016-05-14 10:35 - 000000001 _RHOT () C:\Users\Home\AppData\Roaming\ImageCropResize
    FirewallRules: [{2D427C21-6B2F-437C-8331-575B53EF3D0F}] => (Allow) C:\Users\Home\AppData\Local\MediaGet2\mediaget.exe No File
    FirewallRules: [{0C68BD68-EF3F-46F2-98E4-AB41EC237FA2}] => (Allow) C:\Users\Home\AppData\Local\MediaGet2\mediaget.exe No File
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,752
Реакции
1,735
Баллы
503
Это вероятнее всего Spora. Расшифровки, к сожалению, нет.
 

akok

Команда форума
Администратор
Сообщения
16,396
Реакции
13,021
Баллы
2,203
Только у злоумышленников скорее всего, и то не факт
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,752
Реакции
1,735
Баллы
503
"Манипуляциями" были очищены следы адвари.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу