Личные файлы были зашифрованы [Trojan.Win32.DNSChanger.xlw ]

**dunk** · 22.02.2014, 00:42

Файлы различных документов (word,excel и.т.д) поразил вирус. Все документы датируются одной и той же датой (видимо время активизации вируса). Пользователь говорит, что было какое-то сообщение с предложением заплатить некую сумму, но точно сообщения не помнит. Антивирус (НОД32) вроде прибил зверя, но ни один файл теперь не открывается. В карантине НОД32 вижу записи на ту дату об обнаружении Win32/BitCoinMiner.W и Win32/LoadMoney.AU. Информации больше от пользователя нет.
Помогите, пожалуйста, восстановить документы. (Не могу прикрепить еще один лог, они почему-то у меня очень большие, 1 мб места на сервере вложений не хватило, положил на яндекс диск http://yadi.sk/d/mHSCn4nsJL4tx)

hijackthis.log
virusinfo_syscure.zip

Спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 22.02.2014, 00:43

Уважаемый(ая) dunk, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 22.02.2014, 01:40

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{A73ED13D-0B5C-4735-A12E-7BCAA66AB735}: NameServer = 37.10.116.204,8.8.8.8

Перезагрузите компьютер, снова запустите HijackThis и убедитесь, что этих строк там больше нет.

Если после фикса пропадет Интернет, впишите в настройки DNS адреса, выданные Вам провайдером (см. договор или звоните в их техподдержку).

Очистите куки и кэш браузеров (http://virusinfo.info/showthread.php?t=128635)

Сделайте логи RSIT.

**dunk** · 22.02.2014, 08:09

сделал.
логи RSITinfo.txt log.txt

**mike 1** · 22.02.2014, 12:29

Закройте все программы

Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

Код:

begin
 ExecuteAVUpdate;    
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\tasks\At1.job','');
 DeleteFile('C:\WINDOWS\tasks\At1.job','32');
 DeleteFile('C:\WINDOWS\System32\tasks\At1','32');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

**dunk** · 22.02.2014, 20:09

Сделал лог.MBAM-log-2014-02-22 (18-57-36).txt
К сожалению не имею пока физического доступа к зараженному компьютеру (нахожусь в другом городе). Начиная с этого поста все операции провожу на развернутом в VMware образе системного диска. (образ делался в первый день моего знакомства с данной машиной до каких либо манипуляций)

**mike 1** · 22.02.2014, 20:48

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Код:

Обнаруженные ключи в реестре:
HKCU\Software\Microsoft\Windows\CurrentVersion\WindowsName (Malware.Trace) -> Действие не было предпринято.

Обнаруженные файлы:
C:\Documents and Settings\1\hrtur\cgminer-nogpu.exe (PUP.Optional.Cgminer) -> Действие не было предпринято.
C:\Documents and Settings\1\hrtur\csrss.exe (PUP.Optional.Cgminer) -> Действие не было предпринято.
C:\Documents and Settings\1\hrtur\hstart.exe (Riskware.HidenStart) -> Действие не было предпринято.
C:\System Volume Information\_restore{BEE83F0A-4019-4BEF-8798-FDAC806EC58A}\RP12\A0005972.exe (PUP.Optional.Cgminer) -> Действие не было предпринято.
C:\System Volume Information\_restore{BEE83F0A-4019-4BEF-8798-FDAC806EC58A}\RP12\A0005973.exe (PUP.Optional.Cgminer) -> Действие не было предпринято.
C:\System Volume Information\_restore{BEE83F0A-4019-4BEF-8798-FDAC806EC58A}\RP12\A0005974.exe (Riskware.HidenStart) -> Действие не было предпринято.
C:\System Volume Information\_restore{BEE83F0A-4019-4BEF-8798-FDAC806EC58A}\RP16\A0012004.exe (Trojan.SpyEyes) -> Действие не было предпринято.
C:\System Volume Information\_restore{BEE83F0A-4019-4BEF-8798-FDAC806EC58A}\RP5\A0001456.exe (PUP.Optional.Cgminer) -> Действие не было предпринято.
C:\System Volume Information\_restore{BEE83F0A-4019-4BEF-8798-FDAC806EC58A}\RP5\A0001457.exe (PUP.Optional.Cgminer) -> Действие не было предпринято.
C:\System Volume Information\_restore{BEE83F0A-4019-4BEF-8798-FDAC806EC58A}\RP5\A0001458.exe (Riskware.HidenStart) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

**dunk** · 22.02.2014, 21:55

Сделал. Новый лог mbam:
MBAM-log-2014-02-22 (20-52-32).txt

**mike 1** · 22.02.2014, 22:11

Сделайте новые логи AVZ и логи RSIT.

**dunk** · 22.02.2014, 23:04

Сделал:
log.txt info.txt virusinfo_syscure.zip

**thyrex** · 23.02.2014, 00:02

Сделайте лог ComboFix

**dunk** · 23.02.2014, 09:51

Лог: ComboFix.txt

**CyberHelper** · 23.02.2014, 10:01

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 3
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\tasks\at1.job - Trojan.Win32.DNSChanger.xlw

Личные файлы были зашифрованы [Trojan.Win32.DNSChanger.xlw ] (заявка № 155662)

Опции темы

Личные файлы были зашифрованы [Trojan.Win32.DNSChanger.xlw ]

Антивирусная помощь

Итог лечения

Похожие темы

Личные файлы были зашифрованы Cryptolocker 2.0

Личные файлы были зашифрованы Cryptolocker 2.0

Личные файлы были зашифрованы Cryptolocker 2.0

Личные файлы были зашифрованы Cryptolocker 2.0

Все Ваши файлы были зашифрованы с помощью RSA1024.

Метки для этой темы

Ваши права в разделе