файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* - Форум технической поддержки ESET NOD32

Цитата
C:\DOCUMENTS AND SETTINGS\HIMKI\МОИ ДОКУМЕНТЫ\144109.DEVID.INFO.EXE

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 25.07.2015 10:56:11

1. по очистке системы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.25 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\ECO\APPDATA\LOCAL\TEMP\ПРИГЛАШЕНИЕ-В-РЕСТОРАН!!!JPG.EXE addsgn 1A58D19A5583C58CF42B627DA804DEC9E94677A2ADF69434A1C7406E24BF428CA953E75FBA95E85FAA7A049F46163BF4FEE2E82732DAB058289EB288C70675F8 52 [email protected] zoo %SystemDrive%\USERS\ECO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ПРИГЛАШЕНИЕ-В-РЕСТОРАН!!!JPG.EXE zoo %SystemDrive%\USERS\ECO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\СВАДЕБНОЕ-ПРИГЛАШЕНИЕ-В-РЕСТОРАН-JPG.EXE addsgn 9ADC50DA5582A28DF42BAEB164C81205158AFCF6D9FA1F78C5C3C5BC25E2B88C1BFE6A1D9CEC58556A3B5CED461649FA7DDFE97255DAB02C2D77A42F8573501D 8 [email protected] zoo %SystemDrive%\USERS\ECO\APPDATA\ROAMING\INSTALL\UPDATE.EXE zoo %SystemDrive%\PROGRAM FILES (X86)\320X240\РИСУНОК JPG\СВАДЕБНОЕ-ПРИГЛАШЕНИЕ-В-РЕСТОРАН-JPG.EXE zoo %SystemDrive%\PROGRAM FILES (X86)\320X240\РИСУНОК JPG\ПРИГЛАШЕНИЕ-В-РЕСТОРАН!!!JPG.EXE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-3012370156-2436949368-1839039922-1000\$I2O2B2J.EXE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-3012370156-2436949368-1839039922-1000\$IZOMHL8.EXE zoo %SystemDrive%\USERS\ECO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MICROFORD-SOFT-CLIENT.EXE delall %SystemDrive%\USERS\ECO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MICROFORD-SOFT-CLIENT.EXE delall %SystemDrive%\INSTALL\INSTALL\UPDATE.EXE delall %SystemDrive%\PROGRAM FILES (X86)\ПРИГЛАШЕНИЕ-В-РЕСТОРАН!!!JPG.EXE ;------------------------autoscript--------------------------- chklst delvir ; Java(TM) 6 Update 22 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} /quiet deltmp delnfr ;------------------------------------------------------------- CZOO restart

Код


;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ECO\APPDATA\LOCAL\TEMP\ПРИГЛАШЕНИЕ-В-РЕСТОРАН!!!JPG.EXE
addsgn 1A58D19A5583C58CF42B627DA804DEC9E94677A2ADF69434A1C7406E24BF428CA953E75FBA95E85FAA7A049F46163BF4FEE2E82732DAB058289EB288C70675F8 52 [email protected]

zoo %SystemDrive%\USERS\ECO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ПРИГЛАШЕНИЕ-В-РЕСТОРАН!!!JPG.EXE
zoo %SystemDrive%\USERS\ECO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\СВАДЕБНОЕ-ПРИГЛАШЕНИЕ-В-РЕСТОРАН-JPG.EXE
addsgn 9ADC50DA5582A28DF42BAEB164C81205158AFCF6D9FA1F78C5C3C5BC25E2B88C1BFE6A1D9CEC58556A3B5CED461649FA7DDFE97255DAB02C2D77A42F8573501D 8 [email protected]

zoo %SystemDrive%\USERS\ECO\APPDATA\ROAMING\INSTALL\UPDATE.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\320X240\РИСУНОК JPG\СВАДЕБНОЕ-ПРИГЛАШЕНИЕ-В-РЕСТОРАН-JPG.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\320X240\РИСУНОК JPG\ПРИГЛАШЕНИЕ-В-РЕСТОРАН!!!JPG.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-3012370156-2436949368-1839039922-1000\$I2O2B2J.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-3012370156-2436949368-1839039922-1000\$IZOMHL8.EXE
zoo %SystemDrive%\USERS\ECO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MICROFORD-SOFT-CLIENT.EXE
delall %SystemDrive%\USERS\ECO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MICROFORD-SOFT-CLIENT.EXE
delall %SystemDrive%\INSTALL\INSTALL\UPDATE.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\ПРИГЛАШЕНИЕ-В-РЕСТОРАН!!!JPG.EXE
;------------------------autoscript---------------------------

chklst
delvir

; Java(TM) 6 Update 22
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
------------
2. по восстановлению документов проверьте наличие чистых теневых копий на дисках

3. по расшифровке документов: если у вас естьлицензия на продукт ESET, напишите обращение в техподдержку [email protected] с просьбой о расшифровке документов.

Изменено: santy - 24.02.2020 06:30:43

[ Как создать образ автозапуска? ]

Сообщений: 142

Баллов: 113

Регистрация: 10.06.2011

Размещено 25.07.2015 18:07:25

yan yanov а по какой ссылке был скачан архив с вирусом? В личные сообщения можете кинуть ссылку по которой пользователь перешел?

yan yanov архив с вирусом удалите из вложений, а то другие тоже могут заразится.

Изменено: mike 1 - 24.02.2020 06:30:43

Михаил

Сообщений: 5

Баллов: 2

Регистрация: 13.02.2015

Размещено 28.07.2015 05:58:51

тему создала.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.07.2015 06:12:11

добавьте образ автозапуска, посмотрим в каком сейчас состоянии система
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 13.02.2015

Размещено 28.07.2015 06:37:39

образ автозапуска

Прикрепленные файлы

РУСЛАНА_2015-07-28_10-23-16.7z (426.05 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.07.2015 06:48:03

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.25 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %SystemDrive%\PROGRAM FILES\REGTASK\REGTASK.EXE delall %SystemDrive%\PROGRAM FILES\TASK.EXE hide %SystemDrive%\PROGRAMDATA\MCAFEE SECURITY SCAN\EXTENSIONS\REGFIREFOXADDON.EXE hide %SystemDrive%\USERS\USER PC\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE hide %SystemDrive%\USERS\USER PC\DOWNLOADS\REVOUNINPROSETUP.EXE ;------------------------autoscript--------------------------- sreg chklst delvir delref {15DEE173-1BE9-4424-81E0-58A87076E9B1}\[CLSID] delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] deldirex %SystemDrive%\PROGRAM FILES\MEDIAWATCHV1\MEDIAWATCHV1HOME1445\IE delref %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\EXPLUGIN\NPBAIDUSDDETECTPLUG.DLL del %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\EXPLUGIN\NPBAIDUSDDETECTPLUG.DLL deldirex %SystemDrive%\PROGRAM FILES\VIDEOPLAYERV3\VIDEOPLAYERV3BETA654 deldirex %SystemDrive%\PROGRAM FILES\MEDIAPLAYERV1\MEDIAPLAYERV1ALPHA857 deldirex %SystemDrive%\PROGRAM FILES\MEDIAVIEWERV1\MEDIAVIEWERV1ALPHA75 deldirex %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA9299 deldirex %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA3789 deldirex %SystemDrive%\PROGRAM FILES\MEDIAWATCHV1\MEDIAWATCHV1HOME1445 deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUHIPS\1.2.0.751 delref %Sys32%\DRIVERS\BD0001.SYS del %Sys32%\DRIVERS\BD0001.SYS delref %Sys32%\DRIVERS\BD0002.SYS del %Sys32%\DRIVERS\BD0002.SYS delref %Sys32%\DRIVERS\BD0003.SYS del %Sys32%\DRIVERS\BD0003.SYS delref %Sys32%\DRIVERS\BD0004.SYS del %Sys32%\DRIVERS\BD0004.SYS delref %Sys32%\DRIVERS\BDARKIT.SYS del %Sys32%\DRIVERS\BDARKIT.SYS delref %Sys32%\DRIVERS\BDDEFENSE.SYS del %Sys32%\DRIVERS\BDDEFENSE.SYS delref %Sys32%\DRIVERS\BDFILEDEFEND.SYS del %Sys32%\DRIVERS\BDFILEDEFEND.SYS delref %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BAIDUSDSVC.EXE del %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BAIDUSDSVC.EXE delref %Sys32%\DRIVERS\BDMWRENCH.SYS del %Sys32%\DRIVERS\BDMWRENCH.SYS delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS del %Sys32%\DRIVERS\BDSAFEBROWSER.SYS delref %Sys32%\DRIVERS\BDSANDBOX.SYS del %Sys32%\DRIVERS\BDSANDBOX.SYS deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619 deldirex %SystemDrive%\PROGRAM FILES\MEGA BROWSE deldirex %SystemDrive%\PROGRAM FILES\MEGA BROWSE\BIN deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108 delref HTTP://WEBALTA.RU/SEARCH del %SystemDrive%\PROGRAM FILES\BAIDUAN3.0\BAIDUAN\3.0.0.3971\DRIVERS\X64\BD0001.SYS delref %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\UNINST.EXE del %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\UNINST.EXE delref %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BAIDUSD.EXE del %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BAIDUSD.EXE ; desktopy.ru exec C:\Users\User PC\AppData\Roaming\desktopy.ru\uninstall.exe deltmp delnfr areg ;-------------------------------------------------------------

Код


;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

delall %SystemDrive%\PROGRAM FILES\REGTASK\REGTASK.EXE
delall %SystemDrive%\PROGRAM FILES\TASK.EXE
hide %SystemDrive%\PROGRAMDATA\MCAFEE SECURITY SCAN\EXTENSIONS\REGFIREFOXADDON.EXE
hide %SystemDrive%\USERS\USER PC\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
hide %SystemDrive%\USERS\USER PC\DOWNLOADS\REVOUNINPROSETUP.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref {15DEE173-1BE9-4424-81E0-58A87076E9B1}\[CLSID]
delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
deldirex %SystemDrive%\PROGRAM FILES\MEDIAWATCHV1\MEDIAWATCHV1HOME1445\IE

delref %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\EXPLUGIN\NPBAIDUSDDETECTPLUG.DLL
del %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\EXPLUGIN\NPBAIDUSDDETECTPLUG.DLL

deldirex %SystemDrive%\PROGRAM FILES\VIDEOPLAYERV3\VIDEOPLAYERV3BETA654

deldirex %SystemDrive%\PROGRAM FILES\MEDIAPLAYERV1\MEDIAPLAYERV1ALPHA857

deldirex %SystemDrive%\PROGRAM FILES\MEDIAVIEWERV1\MEDIAVIEWERV1ALPHA75

deldirex %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA9299

deldirex %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA3789

deldirex %SystemDrive%\PROGRAM FILES\MEDIAWATCHV1\MEDIAWATCHV1HOME1445

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUHIPS\1.2.0.751

delref %Sys32%\DRIVERS\BD0001.SYS
del %Sys32%\DRIVERS\BD0001.SYS

delref %Sys32%\DRIVERS\BD0002.SYS
del %Sys32%\DRIVERS\BD0002.SYS

delref %Sys32%\DRIVERS\BD0003.SYS
del %Sys32%\DRIVERS\BD0003.SYS

delref %Sys32%\DRIVERS\BD0004.SYS
del %Sys32%\DRIVERS\BD0004.SYS

delref %Sys32%\DRIVERS\BDARKIT.SYS
del %Sys32%\DRIVERS\BDARKIT.SYS

delref %Sys32%\DRIVERS\BDDEFENSE.SYS
del %Sys32%\DRIVERS\BDDEFENSE.SYS

delref %Sys32%\DRIVERS\BDFILEDEFEND.SYS
del %Sys32%\DRIVERS\BDFILEDEFEND.SYS

delref %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BAIDUSDSVC.EXE
del %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BAIDUSDSVC.EXE

delref %Sys32%\DRIVERS\BDMWRENCH.SYS
del %Sys32%\DRIVERS\BDMWRENCH.SYS

delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
del %Sys32%\DRIVERS\BDSAFEBROWSER.SYS

delref %Sys32%\DRIVERS\BDSANDBOX.SYS
del %Sys32%\DRIVERS\BDSANDBOX.SYS

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619

deldirex %SystemDrive%\PROGRAM FILES\MEGA BROWSE

deldirex %SystemDrive%\PROGRAM FILES\MEGA BROWSE\BIN

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108

delref HTTP://WEBALTA.RU/SEARCH
del %SystemDrive%\PROGRAM FILES\BAIDUAN3.0\BAIDUAN\3.0.0.3971\DRIVERS\X64\BD0001.SYS

delref %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\UNINST.EXE
del %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\UNINST.EXE

delref %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BAIDUSD.EXE
del %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BAIDUSD.EXE

; desktopy.ru
exec C:\Users\User PC\AppData\Roaming\desktopy.ru\uninstall.exe
deltmp
delnfr
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска.

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 13.02.2015

Размещено 28.07.2015 08:21:18

новый образ добавила, проблема заключалась в том, что все документы стали зашифрованы с таким наименованием [email protected] 1.0.0.0.id-SVWXZAABDEFFGHIJJKLMNOOPQRSSTUVWXXYZ-23.07.2015 10@[email protected] и до сих пор такими остаются....

Прикрепленные файлы

РУСЛАНА_2015-07-28_11-41-10.7z (418.74 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.07.2015 08:25:31

по восстановлению документов проверьте наличие чистых теневых копий.
если нужна помощь напишите id и пароль к тимвьюверу в почту

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 28.07.2015

Размещено 28.07.2015 20:00:25

На почту пришло письмо с ссылкой реквизиты. Был сделан переход, после этого все документы *doc,*.xml,*.jpg,*.pdf стали зашифрованы.Вместо них теперь показывается следующее [email protected] 1.0.0.0.id-JJJKMMNNOOPQRRSSTTUVWWWXXYZAABBBCDEE-28.07.2015 11@[email protected]. На рабочем столе появилась заставка с просьбой прислать шифрованный файл к нам на почту.

Прикрепленные файлы

POLINA_2015-07-28_19-54-59.7z (649.37 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 28.07.2015 21:06:04

Судя по всему вируса в системе уже нет. ( только следы от него )

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !

Код
;uVS v3.85.25 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c delall %SystemDrive%\PROGRAM FILES (X86)\РЕКВИЗИТЫ ДЛЯ ВЫСТАВЛЕНИЯ СЧЁТА ДЛЯ БУХГАЛТЕРИИ.PDF.EXE delall %SystemDrive%\USERS\1\DESKTOP\SPSS.EXE delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NMMHKKEGCCAGDLDGIIMEDPICCMGMIEDA\0.1.2.0_0\ПЛАТЕЖНАЯ СИСТЕМА ИНТЕРНЕТ-МАГАЗИНА CHROME exec C:\Users\1\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall deltmp delnfr restart

Код

     


;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
delall %SystemDrive%\PROGRAM FILES (X86)\РЕКВИЗИТЫ ДЛЯ ВЫСТАВЛЕНИЯ СЧЁТА ДЛЯ БУХГАЛТЕРИИ.PDF.EXE
delall %SystemDrive%\USERS\1\DESKTOP\SPSS.EXE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NMMHKKEGCCAGDLDGIIMEDPICCMGMIEDA\0.1.2.0_0\ПЛАТЕЖНАЯ СИСТЕМА ИНТЕРНЕТ-МАГАЗИНА CHROME
exec C:\Users\1\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall
deltmp
delnfr
restart

-------------
Далее выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

файлы зашифрованы в Cryakl CL 0.1..-1.3.. , Filecoder.EQ/Encoder.567/Cryakl

Ответы

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* , Filecoder.EQ/Encoder.567/Cryakl

Ответы

файлы зашифрованы в Cryakl CL 0.1..-1.3.. , Filecoder.EQ/Encoder.567/Cryakl