Kuzya@qq_com [not-a-virus:NetTool.Win32.Sniffer.dz, not-a-virus:RiskTool.Win32.BitCoinMiner.cne ]

[Rjycnfynby]

Помогите расшифровать файлы
во вложении программа safesurf
На малваре проверил других не нашел

[Info_bot]

Уважаемый(ая) Rjycnfynby, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Версия Windows: 5.2.3790, Service Pack 2 "Microsoft Windows Server 2003" ; AVZ работает с правами администратора,AVZ запущен из терминальной сессии (RDP-Tcp#275)

Логи переделайте не через терминальную сессию.

[Rjycnfynby]

в процессе только сафесерф я уже удалил эгзешник в первом сообщении во вложении

- - - Добавлено - - -

как очистить менеджер вложений?

[mike 1]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteAVUpdate;
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('e:\install\cgminer\cgminer.exe');
 QuarantineFileF('e:\install\cgminer', '*', true, ' ', 0, 0); 
 QuarantineFile('E:\Install\Test_hardware\CoreTemp32\Core Temp.exe','');    
 QuarantineFile('C:\Intel\Logs\safesurf-install2\safesurf.exe','');
 QuarantineFile('C:\Documents and Settings\Glbuh\Favorites\SecureSurf.Update\Webisida.Browser.exe','');
 QuarantineFile('C:\Documents and Settings\Glbuh\Favorites\qqq\qqq\RedSurf-client\redsurf.exe','');
 QuarantineFile('e:\install\cgminer\cgminer.exe','');
 DeleteFile('e:\install\cgminer\cgminer.exe','32');
 DeleteFile('C:\Documents and Settings\Glbuh\Favorites\qqq\qqq\RedSurf-client\redsurf.exe','32');
 DeleteFile('C:\Documents and Settings\Glbuh\Favorites\SecureSurf.Update\Webisida.Browser.exe','32');
 DeleteFile('C:\Intel\Logs\safesurf-install2\safesurf.exe','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3511330375-474423457-1552537813-1019\Software\Microsoft\Windows\CurrentVersion\Run','RedSurf');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3511330375-474423457-1552537813-1019\Software\Microsoft\Windows\CurrentVersion\Run','WebisidaSecureSurf');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3511330375-474423457-1552537813-1019\Software\Microsoft\Windows\CurrentVersion\Run','jsafesurf');
 DeleteFileMask('e:\install\cgminer', '*', true, ' ');
 DeleteDirectory('e:\install\cgminer');                 
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

Внимание! Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

[Rjycnfynby]

Карантин выслал малваре делает пока

[thyrex]

Удалите в МВАМ (поместите в Карантин) только указанные ниже записи

Код:

C:\Documents and Settings\Glbuh\Favorites\Links\iexplorer\cg\cgminer.exe (PUP.Optional.BitMiner) -> Действие не было предпринято.
C:\Documents and Settings\Glbuh\Favorites\Links\iexplorer\cg\cpu\coin-miner.exe (PUP.BitCoinMiner) -> Действие не было предпринято.
C:\Documents and Settings\Glbuh\Favorites\Links\iexplorer\cg\cpu\coinutil.dll (PUP.BitcoinMiner) -> Действие не было предпринято.
C:\Documents and Settings\Glbuh\Favorites\Links\iexplorer\cg\cpu\usft_ext.dll (PUP.BitCoinMiner) -> Действие не было предпринято.
C:\Documents and Settings\Glbuh\Favorites\Links\iexplorer\f\cg.exe (PUP.Optional.BitMiner) -> Действие не было предпринято.
C:\Documents and Settings\Nemchinovks\Desktop\avz4\Quarantine\2014-05-27\avz00007.dta (PUP.BitCoinMiner) -> Действие не было предпринято.
C:\Documents and Settings\Nemchinovks\Desktop\avz4\Quarantine\2014-05-27\avz00009.dta (PUP.BitCoinMiner) -> Действие не было предпринято.
C:\Intel\Logs\safesurf.7z (PUP.Optional.SafeGuard) -> Действие не было предпринято.
C:\miner\miner\libcurl-4.dll (Trojan.Miner) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-3511330375-474423457-1552537813-1026\Dc7.rar (PUP.Optional.SafeGuard) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-3511330375-474423457-1552537813-1026\Dc9.exe (PUP.Optional.SafeGuard) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-3511330375-474423457-1552537813-1026\Dc8\safesurf.exe (PUP.Optional.SafeGuard) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-3511330375-474423457-1552537813-1026\Dc8\f\cg.exe (PUP.Optional.BitMiner) -> Действие не было предпринято.

[Rjycnfynby]

Удалите в МВАМ (поместите в Карантин) только указанные ниже записи

Код:

C:\Documents and Settings\Glbuh\Favorites\Links\iexplorer\cg\cgminer.exe (PUP.Optional.BitMiner) -> Действие не было предпринято.
C:\Documents and Settings\Glbuh\Favorites\Links\iexplorer\cg\cpu\coin-miner.exe (PUP.BitCoinMiner) -> Действие не было предпринято.
C:\Documents and Settings\Glbuh\Favorites\Links\iexplorer\cg\cpu\coinutil.dll (PUP.BitcoinMiner) -> Действие не было предпринято.
C:\Documents and Settings\Glbuh\Favorites\Links\iexplorer\cg\cpu\usft_ext.dll (PUP.BitCoinMiner) -> Действие не было предпринято.
C:\Documents and Settings\Glbuh\Favorites\Links\iexplorer\f\cg.exe (PUP.Optional.BitMiner) -> Действие не было предпринято.
C:\Documents and Settings\Nemchinovks\Desktop\avz4\Quarantine\2014-05-27\avz00007.dta (PUP.BitCoinMiner) -> Действие не было предпринято.
C:\Documents and Settings\Nemchinovks\Desktop\avz4\Quarantine\2014-05-27\avz00009.dta (PUP.BitCoinMiner) -> Действие не было предпринято.
C:\Intel\Logs\safesurf.7z (PUP.Optional.SafeGuard) -> Действие не было предпринято.
C:\miner\miner\libcurl-4.dll (Trojan.Miner) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-3511330375-474423457-1552537813-1026\Dc7.rar (PUP.Optional.SafeGuard) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-3511330375-474423457-1552537813-1026\Dc9.exe (PUP.Optional.SafeGuard) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-3511330375-474423457-1552537813-1026\Dc8\safesurf.exe (PUP.Optional.SafeGuard) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-3511330375-474423457-1552537813-1026\Dc8\f\cg.exe (PUP.Optional.BitMiner) -> Действие не было предпринято.

вот лог а с карантином что делать?

[mike 1]

с карантином что делать?

Карантин можете прислать по красной ссылке вверху темы.

1. Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
2. Распакуйте архив с утилитой в отдельную папку
3. Запустите sitlog.exe
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
4. В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
5. По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
6. Прикрепите эти отчеты в вашей теме.

[Rjycnfynby]

Вот

[mike 1]

• Подготовьте лог OTL by OldTimer, как описано на этой странице только в графе File Age выберите 180.
• Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
• Если логи не прикрепляются запакуйте их в архив.

--- Завтра возможно добавят расшифровку этой версии ---

[Rjycnfynby]

• Подготовьте лог OTL by OldTimer, как описано на этой странице только в графе File Age выберите 180.
• Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
• Если логи не прикрепляются запакуйте их в архив.

--- Завтра возможно добавят расшифровку этой версии ---

Вот

[mike 1]

Порядок.

http://media.kaspersky.com/utilities...idecryptor.exe - Уже должен расшифровать. Вам повезло

[Rjycnfynby]

Порядок.

http://media.kaspersky.com/utilities...idecryptor.exe - Уже должен расшифровать. Вам повезло

У МЕНЯ БАЗЫ 1С а он расшифровывает офис картинки и архивы

[thyrex]

Отправил пожелание в вирлаб

[thyrex]

Ответ из вирлаба

Утилита расшифровывает все форматы, но для начала расшифровки (для контроля правильности ключа) требует ограниченный список форматов.

То есть ты даешь ей зашифрованную jpg, она проверяет правильность и потом расшифровывает всё, что найдет, в том числе 1c, 2c, …, nc на любой вкус

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 88
• В ходе лечения обнаружены вредоносные программы:
  
  1. e:\install\cgminer\api.class - not-a-virus:NetTool.Win32.Sniffer.dz
  2. e:\install\cgminer\cgminer.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.cmh ( DrWEB: Trojan.BtcMine.79, BitDefender: Gen:Variant.Application.Graftor.74420 )
  3. e:\install\cgminer\cgminer-fpgaonly.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.cne ( DrWEB: Trojan.BtcMine.99, BitDefender: Gen:Variant.Application.Graftor.74420 )
  4. e:\install\cgminer\cgminer-2.11.4-windows.7z - not-a-virus:NetTool.Win32.Sniffer.dz ( BitDefender: Gen:Variant.Application.Graftor.74420 )