файлы зашифрованы с расширением .crime

RSS

Сообщений: 4

Баллов: 2

Регистрация: 16.02.2016

Размещено 16.02.2016 18:58:45

Здравствуйте. поймал вирус. Файлы Excel, Word, и фотографии не открываются. К файлам добавилось ".crime".

Здравствуйте, все ваши файлы зашифрованы, свяжитесь с нами для их восстановления.
1) Загрузите 'Tor Browser for Windows', скачать можно тут https://www.torproject.org/download/download-easy.html.en
2) Установите и запустите 'Tor Browser'
3) Перейдите по ссылке http://lmlxhqpsvdylun4v.onion в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser')
4) Следуйте инструкциям на сайте

--------------------------------------------------------------

Login: fc8f2838
Password: ad603c6b69b1398001964587d1e819f4
Внимание: выкладывать 'Password' в публичный доступ ЗАПРЕЩЕНО.

Помогите, пожалуйста.

Ответы

Пред. 1 2 3 4 5 6 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 23.02.2016 14:39:24

Алексей,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE hide %SystemDrive%\USERS\FOTS\DESKTOP\BS.EXE ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\USERS\FOTS\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref %Sys32%\TSSK.SYS del %Sys32%\TSSK.SYS deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\130 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

hide %SystemDrive%\USERS\FOTS\DESKTOP\BS.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\FOTS\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref %Sys32%\TSSK.SYS
del %Sys32%\TSSK.SYS

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\130

deltmp
delnfr

;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 24.02.2016

Размещено 24.02.2016 19:10:43

Подскажите, пожалуйста что делать? Поймали вирус, который зашифровал все файлы на компьютере в расширение ".crime".
Во всех папках вложение с текстом:
Здравствуйте, все ваши файлы зашифрованы, свяжитесь с нами для их восстановления.
1) Загрузите 'Tor Browser for Windows', скачать можно тут https://www.torproject.org/download/download-easy.html.en
2) Установите и запустите 'Tor Browser'
3) Перейдите по ссылке http://lmlxhqpsvdylun4v.onion в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser')
4) Следуйте инструкциям на сайте

--------------------------------------------------------------

Login: fc95b2f1
Password: ada8078779c24b41546f61822b465544
Внимание: выкладывать 'Password' в публичный доступ ЗАПРЕЩЕНО.

Соответственно ничего не открывается, Помогите,пожалуйста!!!

Сообщений: 4

Баллов: 2

Регистрация: 20.02.2016

Размещено 24.02.2016 20:41:27

Добавляю образ автозапуска

Прикрепленные файлы

ADMIN-PC_2016-02-21_22-33-30.TXT (14.21 МБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 24.02.2016 21:19:17

Цитата
Наташа Лепская написал: Подскажите, пожалуйста что делать? Поймали вирус, который зашифровал все файлы на компьютере в расширение ".crime".

Наталья Лепская,
добавьте образ автозапуска системы,
(смотрите в моей подписи, как это сделать)
+
добавьте несколько зашифрованных файлов.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 24.02.2016 21:24:49

Евгений Кононенко,
непонятно, зачем вы продублировали старый образ автозапуска
http://forum.esetnod32.ru/messages/forum35/topic13014/message91736/#message91736
там в сообщении уже был этот образ, и соответственно по нему был добавлен ниже скрипт очистки.
+
еще раз:
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAM FILES (X86)\ALTERGEO\HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE delref %SystemDrive%\PROGRA~2\IOBIT\SURFIN~1\BROWER~1\ASCPLU~1.DLL delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHAMJANPIBKCCDMPOEKJIGJA%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEEMBEEJEKGHKOPIABADONPMFPIGOJOK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNJABJMHINNDPHFNBJEHDALKPHPDMEPLI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\HEOCQEMK.DEFAULT\EXTENSIONS\[email protected] delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\HEOCQEMK.DEFAULT\EXTENSIONS\[email protected] delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\6.0.1_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LANABBPAHPJNALJEBNPGKJEMCBKEPIAK\2.0.2_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NJABJMHINNDPHFNBJEHDALKPHPDMEPLI\1.0.9_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\1.0.9.1_0\СТАРТОВАЯ — ЯНДЕКС deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\KOMETA\APPLICATION\45.0.2454.103 delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDMPOJJILDDEFGNHIICJCMHBKJGBBCLOB%26INSTALLSOURCE%3DONDEMAND%26UC deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\MEDIAGET2 deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\KOMETA\APPLICATION deldirex %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\KOMETA deldirex %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MEDIAGET2 regt 28 regt 29 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\ALTERGEO\HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE

delref %SystemDrive%\PROGRA~2\IOBIT\SURFIN~1\BROWER~1\ASCPLU~1.DLL

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHAMJANPIBKCCDMPOEKJIGJA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEEMBEEJEKGHKOPIABADONPMFPIGOJOK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNJABJMHINNDPHFNBJEHDALKPHPDMEPLI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\HEOCQEMK.DEFAULT\EXTENSIONS\[email protected]

delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\HEOCQEMK.DEFAULT\EXTENSIONS\[email protected]

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\6.0.1_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LANABBPAHPJNALJEBNPGKJEMCBKEPIAK\2.0.2_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NJABJMHINNDPHFNBJEHDALKPHPDMEPLI\1.0.9_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\1.0.9.1_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\KOMETA\APPLICATION\45.0.2454.103

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDMPOJJILDDEFGNHIICJCMHBKJGBBCLOB%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\MEDIAGET2

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\KOMETA\APPLICATION

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\KOMETA

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MEDIAGET2

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

Изменено: santy - 24.02.2016 21:28:12

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 24.02.2016

Размещено 25.02.2016 14:23:07

Прикрепляю файлы и образ автозапуска, надеюсь, что все сделала так, как нужно

Прикрепленные файлы

NEXT-ПК_2016-02-25_13-15-36.7z (480.83 КБ)

Сообщений: 6

Баллов: 3

Регистрация: 24.02.2016

Размещено 25.02.2016 14:27:02

У меня, к сожалению, не прикрепляются заблокированные файлы: появляется ошибка "Неверный тип файла (crime)"

Сообщений: 6

Баллов: 3

Регистрация: 24.02.2016

Размещено 25.02.2016 14:42:26

отправляю их архивом

Прикрепленные файлы

Архив ZIP - WinRAR.zip (757.13 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 25.02.2016 16:05:02

Наташа,
система уже очищена от вирусных тел,
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 25.02.2016

Размещено 25.02.2016 18:16:24

Добрый день. Проблема, файлы Excel, Word, и фотографии не открываются, к файлам добавилось ".crime". Появился аналогичный документ с советом скачать 'Tor Browser'. Помогите восстановить документы.

Прикрепленные файлы

ЮРА-ПК_2016-02-25_16-59-02.rar (493.45 КБ)
Зашифрованые_файлы.rar (146.61 КБ)

Пред. 1 2 3 4 5 6 След.