Подхватил два трояна-шифровальщика (*.crypted и *.fklock).

[Шарик А.В.]

Здравствуйте. Подхватил два трояна-шифровальщика (*.crypted и *.fklock).
*.crypted на диске D зашифровал все xls лежавших в папках, названных лат. символами(папки: buh,doc), а также в корне диска, но не тронул xls лежавшие в папках названных кириллицей (папка: апрель 2013). Помимо всего, были зашифрованы ещё ряд форматов: dbf, doc, dt и др.
В каждой заражённой папке, помимо файлов с данными присутствует два файла:
1.secret_code.txt
Содержимое:R7m9SYQXZbhsBJGklyl8x2AUNJ9DBNFgeYf6FXq wlUlKAtJTkeXziPZEvsfwo6gRS5JLyd4NmfPSnx/71Kajfw==
2.how_to_decrypt!.html
Содержимое:Внимание! Некоторые Ваши личные и рабочие файлы теперь зашифрованы - это факт. Не волнуйтесь и не паникуйте, уверяем, что восстановить файлы - пара пустяков, нужно лишь следовать нашим советам.
НЕ РЕКОМЕНДУЕТСЯ:

• Проверять компьютер антивирусом
• Переустанавливать операционную систему
• Пытаться восстановить данные самостоятельно

Все вышеперечисленные действия - бесполезная трата времени и сил, а так же реальный риск потерять свои данные навсегда.
ЧТО СЛЕДУЕТ СДЕЛАТЬ:

• Оставить все файлы как есть
• Отключить антивирус, так как он может случайно удалить дешифратор файлов, который мы Вам пришлём
• Как можно скорее связаться с нами для покупки пароля расшифровки

Краткая инструкция:

• Напишите нам электронное письмо по адресу: [email protected]
• В письме добавьте нижеприведённый секретный код, целиком скопированный из этого файла, либо прикрепите к письму текстовый файл "secret_code.txt", который можно найти в каждой папке с зашифрованными файлами
• Дополнительные инструкции по оплате и расшифровке Вы получите в ответном письме

Ваш секретный код : KSxG4EBdOnPQ8//7u5B91m74KUL2wqtn8srAkTaIv2qfrF8c6kbZtbvR75pKHHnyr nt3DMsOmlG8ldBxt5KcPneIOrimMtjK53y0uRGlm+zJ7ULe+Hm VddcafnPvRuzknJ9FRjfInBnrsi463oNxXHZb4kmlah/DuGzdrhX3dnM=
В качестве доказательства нашей честности мы платно расшифруем любые 2 файла, которые Вы можете прикрепить в письме. Стоимость расшифровки файлов составляет 50 долларов США.

Сделайте первый шаг и всё будет хорошо. До скорого.


На диске E ситуация несколько иная.
*.fklock зашифровал все файлы rar,jpeg,png и ещё ряду других.
В каждой папке присутствует файл:
КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
Содержимое:
ВНИМАНИЕ!!!
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ, И ЭТО ФАКТ. КОЛ-ВО ПОПЫТОК ВВОДА ПАРОЛЯ -10, ПОСЛЕ ЭТОГО ВОССТАНОВЛЕНИЕ ФАЙЛОВ
БУДЕТ НЕВОЗМОЖНО.


НЕ РЕКОМЕНДУЕТСЯ:
- ПРОВЕРЯТЬ КОМП АНТИВИРУСОМ;
- ПЕРЕУСТАНАВЛИВАТЬ ВИНДОВС;
- ПЫТАТЬСЯ ВОССТАНОВИТЬ ДАННЫЕ САМОСТОЯТЕЛЬНО.


ВСЕ ЭТИ ДЕЙСТВИЯ - БЕСПОЛЕЗНАЯ ТРАТА ВАШЕГО ВРЕМЕНИ И УСИЛИЙ, А ТАКЖЕ РЕАЛЬНЫЙ РИСК ПОТЕРЯТЬ ВСЮ ИНФОРМАЦИЮ НАВСЕГДА. НЕ УСЛОЖНЯЙТЕ СВОЕ ПОЛОЖЕНИЕ, ЛУЧШЕ ПИШИТЕ НА:
[email protected]


И ВСЕ БУДЕТ ХОРОШО. ДО СКОРОГО.
============================
Заранее спасибо, надеюсь на Вашу помощь.

[Info_bot]

Уважаемый(ая) Шарик А.В., спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

А в DrWeb вам разве не помогли с расшифровкой файлов?

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

[Шарик А.В.]

DrWeb мне более не ответили. Дело в том, что я до конца не уверен, что отправил им именно источник трояная(crypted), более того, возможно дешифратор должен разрабатываться под мою проблему индивидуально, я имею ввиду ключ дешифровки. Вот и решил пойти более официальным что ли путём, мало ли что у меня ещё в системе затаилось.

[mike 1]

Перекачайте uVS по ссылке и сделайте лог версией 3.85.

- - - - -Добавлено - - - - -

C:\WINDOWS\TASKS\VSEQ.JOB
C:\WINDOWS\TASKS\SCCN.JOB

Пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

[Шарик А.В.]

Отправляю лог uVS 3.85
http://rghost.ru/59236437
пароль для скачивания:01230715
=======================
C:\WINDOWS\TASKS\VSEQ.JOB
C:\WINDOWS\TASKS\SCCN.JOB
Отправил архивом task.zip по средством красной ссылке в топе темы.

- - - - -Добавлено - - - - -

Перекачайте uVS по ссылке и сделайте лог версией 3.85.

- - - - -Добавлено - - - - -


Пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Как удалить файлы, который я ранее добавлял из выделенного мне одного мегабайта в учётной записи?

[mike 1]

Как удалить файлы, который я ранее добавлял из выделенного мне одного мегабайта в учётной записи?

Мой кабинет => Вложения

Выполните скрипт в uVS:

Код:

;uVS v3.85 [http://dsrt.dyndns.org]
;Target OS: NTv6.0
v385c
breg

zoo %SystemDrive%\IEXPLORE.BAT
del %SystemDrive%\IEXPLORE.BAT
delref HTTP://METAPOISKOVIK.RU
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=2A4EAC94D328317F0957EF67F880E770&TEXT={SEARCHTERMS}
delall %SystemDrive%\PROGRAM FILES\MYPC BACKUP\SIGNUP WIZARD.EXE
delall %SystemDrive%\PROGRAM FILES\SHOPPERPRO\JSDRIVER\1.37.0.871\JSDRV.EXE
delall %SystemDrive%\PROGRAMDATA\SHOPPERPRO\SHOPPERPRO.DLL
zoo %SystemDrive%\USERS\OKSANA\DESKTOP\CIPHER7.EXE
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\SCCN.EXE
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\VSEQ.EXE
delref HTTP:\\METAPOISKOVIK.RU
delall %SystemDrive%\PROGRAM FILES\YOUTUBE ACCELERATOR\YOUTUBEACCELERATOR.EXE

Компьютер перезагрузите вручную. Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над первым сообщением в теме.

1. Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе
2. Распакуйте архив с утилитой в отдельную папку
3. Запустите FixerBro
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
4. В главном окне программы нажмите на кнопку "Проверить"
5. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
6. По окончанию сканирования нажмите на кнопку "Отчет".
7. Сохраните лог утилиты
8. Прикрепите сохраненный отчет в вашей теме.

Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

[Шарик А.В.]

ZOO лог отправил и остальные логи прикрепил.

[mike 1]

C:\CCProxy\CCProxy.exe

Программа знакома? Сами себе ее ставили?

1. Запустите повторно FixerBro by glax24.
   Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
2. Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив следующих строк и нажмите на кнопку Исправить. Дождитесь окончания удаления.
   
   
   Код:

   C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [C:\iexplore.bat - (Объект запуска не найден)]
   C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk [C:\iexplore.bat - (Объект запуска не найден)]

3. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt).
4. По окончанию удаления нажмите на кнопку "Отчет"
5. Сохраните лог утилиты
6. Прикрепите сохраненный отчет в вашей теме.

C:\Windows\system33.exe

Пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

[Шарик А.В.]

CCProxy.exe программу ставил лично(прокси-сервер), использую около полутора-двух лет.

C:\Windows\system33.exe - отправил.

[mike 1]

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Код:

Обнаруженные ключи в реестре:  7
HKCU\Software\AppDataLow\Software\Crossrider (PUP.Optional.CrossRider.A) -> Действие не было предпринято.
HKCU\Software\AppDataLow\Software\iWebar (PUP.Optional.iWebar.A) -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\BPROTECTSETTINGS (PUP.Optional.BProtector.A) -> Действие не было предпринято.
HKLM\SOFTWARE\DataMngr (PUP.Optional.DataMangr.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Google\Chrome\Extensions\nbmafkdmkkckhggblphicnnhlgljnoje (PUP.Optional.TornTV.A) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\SPDRIVER_1.37.0.871 (PUP.Optional.ShopperPro) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  2
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes|bProtectorDefaultScope (PUP.BProtector) -> Параметры: {0633EE93-D776-472f-A0FF-E1416B8B2E3A} -> Действие не было предпринято.

Обнаруженные папки:  1
C:\ProgramData\ShopperPro (PUP.Optional.ShopperPro) -> Действие не было предпринято.

Обнаруженные файлы:  28
C:\$Recycle.Bin\S-1-5-21-1492031878-3338592243-2562590217-500\$R0QF6YE\sense.exe (PUP.Optional.NSXgen) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-1492031878-3338592243-2562590217-500\$RKGAJKJ\iwebar.exe (PUP.Optional.NSXgen) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-1492031878-3338592243-2562590217-500\$RNU86G0\iwebar.exe (PUP.Optional.NSXgen) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-1492031878-3338592243-2562590217-500\$RH1X0XK\sense.exe (PUP.Optional.NSXgen) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-1492031878-3338592243-2562590217-500\$RHDV3HT\Installiwebar_16380\delay.exe (PUP.Optional.GoobZo) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-1492031878-3338592243-2562590217-500\$RHDV3HT\Installsense_16380\delay.exe (PUP.Optional.GoobZo) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-1492031878-3338592243-2562590217-500\$RTQHOLD\iwebar.exe (PUP.Optional.NSXgen) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-1492031878-3338592243-2562590217-500\$RTQHOLD\sense.exe (PUP.Optional.NSXgen) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-1492031878-3338592243-2562590217-500\$RRJ954A\sense.exe (PUP.Optional.NSXgen) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-1492031878-3338592243-2562590217-500\$RZF5VQX\iwebar.exe (PUP.Optional.NSXgen) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-1492031878-3338592243-2562590217-500\$RZZ2DPI\iwebar.exe (PUP.Optional.NSXgen) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-1492031878-3338592243-2562590217-500\$RZZ2DPI\sense.exe (PUP.Optional.NSXgen) -> Действие не было предпринято.
E:\$RECYCLE.BIN\S-1-5-21-1492031878-3338592243-2562590217-500\$ROOD0P0.exe (Trojan.Dropped) -> Действие не было предпринято.
C:\Windows\system33.exe (Trojan.Agent) -> Действие не было предпринято.
C:\ProgramData\ShopperPro\config.json (PUP.Optional.ShopperPro) -> Действие не было предпринято.
C:\ProgramData\ShopperPro\database1_0_0.json (PUP.Optional.ShopperPro) -> Действие не было предпринято.
C:\ProgramData\ShopperPro\ShopperPro64.dll (PUP.Optional.ShopperPro) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

[Шарик А.В.]

Всё сделал согласно последней инструкции

[mike 1]

Сделайте новый лог uVS.

Вам из DrWeb не отвечали?

[Шарик А.В.]

В DrWeb я отправлял один единственный файл, с подозрением на вероятный троянец-crypted(Cipher7.exe), но это было ещё до моего полного сканирования системы утилитами сайта virusinfo.info, за исключением uVS, так вот сегодня пришёл ответ:

Перерыли трояна вдоль и поперек: с ошибкой он, так что перебор нашими силами
значительно осложняется. И есть подозрения, что на него могут уйти месяцы
расчетов.

Тлеет надежда, что не Cipher7.exe есть тот злосчастный троянец...

[mike 1]

Эти файлы удалите:

C:\WINDOWS\TASKS\VSEQ.JOB
C:\WINDOWS\TASKS\SCCN.JOB

1. Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
2. Распакуйте архив с утилитой в отдельную папку
3. Запустите checkbrowserlnk.exe
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
4. После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log
5. Прикрепите этот отчет в вашей теме.

На диске E ситуация несколько иная.
*.fklock зашифровал все файлы rar,jpeg,png и ещё ряду других.

Прикрепите небольшой зашифрованный файл.

[Шарик А.В.]

VSEQ.JOB, SCCN.JOB - удалил!

файл с расширением fklock
http://rghost.ru/59275856 пароль на скачивание:01230715

- - - - -Добавлено - - - - -

Вопрос техподдержке DrWeb:
"А как ситуация с тикетом [drweb.com #5134694]? Там была несколько схожая с моей ситуация."
Ответ:
"По заявке 5134694 было отвечено в той заявке. Статус чужих тикетов я не
комментирую."

У Вас есть какие-нибудь сведения касательно данной заявки или связь с её отправителем?

[mike 1]

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Запустите ClearLNK, затем скопируйте следующий текст в окно программы
  
  
  Код:

  C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk

• Нажмите на кнопку "Лечить".
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

У Вас есть какие-нибудь сведения касательно данной заявки или связь с её отправителем?

Отправитель запроса №5134694 я.

[Шарик А.В.]

И я так понимаю по Вашей заявке результата пока нет?

[mike 1]

И я так понимаю по Вашей заявке результата пока нет?

У меня запрос был на добавление зловреда в базы, но не на расшифровку.

Cipher7.exe - Trojan.Encoder.814

[Шарик А.В.]

Я так понимаю, если мне обратиться в платную рубрику "Помогите+" шансов пока нет, так как DrWeb ещё не имеет дешифратора?

Или не только DrWeb занимается дешифрованием?