Trojan-Ransom.Win32.Rector

[Chokod]

зашифрованы файлы doc, xls, dbf, [email protected]_lot5021 - расширение шифрованных файловТак же проверялась с помощью Rector Decryptor: This is Trojan-Ransom.Win32.Rector, but key not found

[Info_bot]

Уважаемый(ая) Chokod, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\windows\debug\008586dc.exe');
 QuarantineFile('c:\windows\debug\008586dc.exe','');
 DeleteFile('C:\Windows\debug\008586dc.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NVUpdater');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

1. Загрузите GMER по одной из указанных ссылок:
   Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
2. Временно отключите драйверы эмуляторов дисков.
3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
4. Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
5. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
   
   
   • Sections
   • IAT/EAT
   • Show all
6. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
7. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
8. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
   
   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

[Chokod]

Лог GMER

[mike 1]

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится f7kn9h2z.exe случайное имя утилиты (gmer)

Код:

f7kn9h2z.exe -del service dvxwhvk
f7kn9h2z.exe -del file "C:\WINDOWS\system32\qturhxh.dll"
f7kn9h2z.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\dvxwhvk"
f7kn9h2z.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\dvxwhvk"
f7kn9h2z.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!

Сделайте новый лог gmer.

[Chokod]

Новый лог

[mike 1]

Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

[Chokod]

Лог MBAM

[mike 1]

Вроде давал ссылку на MBAM 1.75. Тип сканирования в MBAM не то выбрали. Там нужно выбирать Custom Scan.

[Chokod]

MBAM до этого уже был установлен, им и сканировал в первый раз.
Вот новый лог.

[mike 1]

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

Код:

begin
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WQY4MXOS\trz5.tmp','');
QuarantineFile('C:\Documents and Settings\user\bifihupibqaz.exe','');
QuarantineFile('C:\Documents and Settings\user\gexahawoxypo.exe','');
QuarantineFile('C:\WINDOWS\system32\trz6.tmp','');
QuarantineFile('D:\ПОЧТА\trz5.tmp','');
QuarantineFile('D:\ПОЧТА\trz6.tmp','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Код:

Обнаруженные файлы:  15
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WQY4MXOS\trz5.tmp (Worm.Autorun) -> Действие не было предпринято.
C:\Documents and Settings\user\bifihupibqaz.exe (Trojan.Agent.US) -> Действие не было предпринято.
C:\Documents and Settings\user\gexahawoxypo.exe (Trojan.Agent.US) -> Действие не было предпринято.
C:\WINDOWS\system32\trz6.tmp (Worm.Autorun) -> Действие не было предпринято.
D:\ПОЧТА\trz5.tmp (Worm.AutoRun) -> Действие не было предпринято.
D:\ПОЧТА\trz6.tmp (Worm.AutoRun) -> Действие не было предпринято.
D:\ПОЧТА\trz7.tmp (Worm.AutoRun) -> Действие не было предпринято.
D:\ПОЧТА\trz8.tmp (Worm.AutoRun) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

[Chokod]

Новый лог

[thyrex]

Сделайте лог ComboFix

[Chokod]

Лог combofix

[mike 1]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

Код:

KillAll::

File::
c:\windows\system32\DLLA.tmp

Driver::

NetSvc::
pqxabcj
dvxwhvk

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8463:TCP"=-

FileLook::

DirLook::

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Chokod]

новый лог ComboFix

[mike 1]

Логи в порядке. Дешифратором для этой версии пока никто не поделился.

[Chokod]

Ожидается ли появление дешифратора в обозримом будущем?
Как поступить с зараженным диском?
Можно ли отформатировать его, предварительно скопировав зашифрованные данные?
Он ещё понадобится для дальнейшего анализа?

[mike 1]

1. Может и появится, а может и через год не появится.

2. Им можно дальше пользоваться вирус удален.

3. Можно. Только переустановка не поможет вернуть расшифрованные документы.

4. Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"



Скачайте OTCleanIt, запустите, нажмите Clean up

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 4
• В ходе лечения вредоносные программы в карантинах не обнаружены