Помогите, поймал вирус paycrypt@gmail

[xak666]

добавилось к расширению paycrypt@gmail и файлы екселя зашифровались
hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip

прошу помощи

[Info_bot]

Уважаемый(ая) xak666, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Сделайте лог полного сканирования МВАМ

[regist]

+ Выполните скрипт в AVZ

Код:

begin
 ExecuteRepair(11);
ClearHostsFile;
RebootWindows(false);
end.

Если блокировку сайтов через host прописывали сами, то перед выполнением удалите строку

Код:

ClearHostsFile;

+ КГБ кейлогер сами ставили?

+ - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

[xak666]

- лог МВАМ http://rghost.ru/private/56903819/b4...642bee75e025e9
-скрипт выполнил
- блокировку сайтов через host прописывали сами
-"+ КГБ кейлогер сами ставили" - не совсем то, но я понял про что идет речь, тоже сами ставили
-процедуру провел http://virusinfo.info/virusdetector/...E708132324C3F6

[regist]

Код:

C:\del.cmd

думаю знаком вам?

Удалите в MBAM только

Код:

Registry Keys: 6
PUP.Optional.SoftwareUpdater, HKLM\SOFTWARE\CLASSES\CLSID\{67BD9EEB-AA06-4329-A940-D250019300C9}, , [680cc6d981fa1b1b27bc233b53afab55], 
PUP.Optional.SoftwareUpdater, HKLM\SOFTWARE\CLASSES\TYPELIB\{A0EE0278-2986-4E5A-884E-A3BF0357E476}, , [680cc6d981fa1b1b27bc233b53afab55], 
PUP.Optional.SoftwareUpdater, HKLM\SOFTWARE\CLASSES\INTERFACE\{9EDC0C90-2B5B-4512-953E-35767BAD5C67}, , [680cc6d981fa1b1b27bc233b53afab55], 
PUP.Optional.SoftwareUpdater, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96}, , [680cc6d981fa1b1b27bc233b53afab55], 
PUP.Optional.SoftwareUpdater, HKLM\SOFTWARE\CLASSES\Updater.AmiUpd.1, , [680cc6d981fa1b1b27bc233b53afab55], 
PUP.Optional.SoftwareUpdater, HKLM\SOFTWARE\CLASSES\Updater.AmiUpd, , [680cc6d981fa1b1b27bc233b53afab55], 
PUP.Optional.SoftwareUpdater.A, C:\Users\User\AppData\Local\SwvUpdater, , [6113bbe4bbc0191d7c7016a4e91928d8], 

PUP.Optional.SoftwareUpdater, C:\Users\User\AppData\Local\SwvUpdater\Updater.exe, , [680cc6d981fa1b1b27bc233b53afab55], 
PUP.Optional.Amonetize.A, C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\L5QMMIVF\desktopy[1].zip, , [e193504f0774ba7c73b9c15ff1102fd1], 
PUP.Adware.Agent, C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RIGXAYDQ\s2setup_mruwtsdpy[1].exe, , [d99ba6f9bfbc2c0ab0ca5da9f70957a9], 
PUP.Adware.Agent, C:\Users\User\AppData\Local\Temp\s2cache.tmp, , [76fe6a350c6fb185afcb5fa721df60a0], 
PUP.Optional.Amonetize.A, C:\Users\User\AppData\Local\Temp\Updater.exe, , [1e563f60740733038535370258a839c7], 
Malware.Packer.95, C:\Users\User_2\AppData\Local\Temp\23593328.exe, , [dc98108f413a082e60b56a8ad62ac838], 
Trojan.Onlinegames, D:\$RECYCLE.BIN\S-1-5-21-2996519736-923770470-4206577878-1001\$R9AQIOC.exe, , [fa7a1986cdae77bfd237cd51cb37aa56], 
Trojan.Onlinegames, D:\$RECYCLE.BIN\S-1-5-21-2996519736-923770470-4206577878-1001\$RRBNLLH.exe, , [a0d4f4ab502b71c558b10d11f40edc24], 
PUP.Optional.SoftwareUpdater.A, C:\Users\User\AppData\Local\SwvUpdater\Updater.xml, , [6113bbe4bbc0191d7c7016a4e91928d8], 
PUP.Optional.SoftwareUpdater.A, C:\Users\User\AppData\Local\SwvUpdater\status.cfg, , [6113bbe4bbc0191d7c7016a4e91928d8], 
PUP.SoftwareUpdater.A, C:\Windows\System32\Tasks\AmiUpdXp, , [75ff9c0382f9a39303f9fec110f2e917], 
PUP.Optional.MailRU.A, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\ts5o51f1.default\searchplugins\mailru.xml, , [88ec544b96e50b2bed9b21b32bd72ad6], 
PUP.Software.Updater, C:\Windows\Tasks\AmiUpdXp.job, , [bdb7fea1f08b86b0ed9e3cae1fe3a858], 
Heuristics.Reserved.Word.Exploit, C:\Users\User_2\AppData\Local\Temp\svchost.like, , [a9cb5c437efd9e986eb3dac8c53f2ad6],

просканируйте ещё раз и прикрепите свежий лог.

[xak666]

-знакомо, что то свое))

лог сделал http://rghost.ru/private/56917022/5c...f7c39f379c87a0

мне бы файлы расшифровать, лечить не обязательно, форматну все...

вот зашифрованный http://rghost.ru/56917038

[regist]

MBAM деинсталируйте.

Расшифровать, увы, не получится http://virusinfo.info/showthread.php?t=162092

[xak666]

обидно(((

[regist]

эти рекомендации всё равно выполните

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[xak666]

если все таки появится возможность...

вирус, дешифратор и инструкция,KEY http://rghost.ru/56957168 пароль infected
Образцы http://rghost.ru/56957176

- - - Добавлено - - -

файлы вируса с ТЕМПА [удалено]
после запуска (файлы не зашифровались еще), в момент (файлы не зашифровались еще) и по завершению шифра (файлы все зашифровались)

- - - Добавлено - - -

код дешифратора:

Скрытый текст

if not exist "%TEMP%\UNCRYPT.KEY" goto exit0
if exist "%TEMP%\paycrpt.bin" goto exit0
echo DCPT>"%TEMP%\paycrpt.bin"
attrib -s -h -r "%TEMP%\*.gpg"
del /f /q "%TEMP%\*.gpg"
del /f /q "%TEMP%\*.lock"
del /f /q "%TEMP%\*.cry"
del /f /q "%TEMP%\random_seed"
cd "%APPDATA%"
attrib -s -h -r "%APPDATA%\gnupg\*.*"
attrib -s -h -r "%APPDATA%\gnupg"
del /f /q "%APPDATA%\gnupg\*.*"
rmdir /s /q "%APPDATA%\gnupg"
cd "%TEMP%"
decrypt.exe --import "%TEMP%\UNCRYPT.KEY"
msg.exe Success! "Key FOUND! Close ALL applications and press OK. Hidden MODE! - Wait for REBOOT"
ping 127.0.0.1 -n 1
if exist B:\*.* for /r "B:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "B:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "B:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist C:\*.* for /r "C:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "C:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "C:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist D:\*.* for /r "D:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "D:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "D:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist E:\*.* for /r "E:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "E:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "E:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist F:\*.* for /r "F:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "F:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "F:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist G:\*.* for /r "G:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "G:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "G:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist H:\*.* for /r "H:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "H:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "H:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist I:\*.* for /r "I:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "I:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "I:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist J:\*.* for /r "J:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "J:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "J:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist K:\*.* for /r "K:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "K:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "K:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist L:\*.* for /r "L:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "L:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "L:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist M:\*.* for /r "M:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "M:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "M:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist N:\*.* for /r "N:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "N:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "N:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist O:\*.* for /r "O:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "O:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "O:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist P:\*.* for /r "P:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "P:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "P:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist Q:\*.* for /r "Q:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "Q:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "Q:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist R:\*.* for /r "R:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "R:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "R:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist S:\*.* for /r "S:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "S:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "S:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist T:\*.* for /r "T:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "T:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "T:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist U:\*.* for /r "U:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "U:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "U:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist V:\*.* for /r "V:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "V:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "V:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist W:\*.* for /r "W:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "W:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "W:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist X:\*.* for /r "X:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "X:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "X:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist Y:\*.* for /r "Y:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "Y:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "Y:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist Z:\*.* for /r "Z:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "Z:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "Z:%%~pi%%~ni.gpg">> paycrpt.bin)
RENAME paycrpt.bin dweb.cmd
ping 127.0.0.1 -n 1
call dweb.cmd
attrib -s -h -r "%TEMP%"
attrib -s -h -r "%TEMP%\*.*"
del /f /q "C:\DECODE.zip"
del /f /q "D:\DECODE.zip"
del /f /q "%USERPROFILE%\Desktop\DECODE.zip"
del /f /q "%APPDATA%\Desktop\DECODE.zip"
del /f /q "C:\PAYCRYPT_GMAIL_COM.txt"
del /f /q "D:\PAYCRYPT_GMAIL_COM.txt"
del /f /q "%USERPROFILE%\Рабочий стол\PAYCRYPT_GMAIL_COM.txt"
del /f /q "%USERPROFILE%\Desktop\PAYCRYPT_GMAIL_COM.txt"
del /f /q "%PUBLIC%\Desktop\PAYCRYPT_GMAIL_COM.txt"
del /f /q "%APPDATA%\Desktop\PAYCRYPT_GMAIL_COM.txt"
del /f /q "%TEMP%\PAYCRYPT_GMAIL_COM.txt"
cd "%APPDATA%"
attrib -s -h -r "%APPDATA%\gnupg\*.*"
attrib -s -h -r "%APPDATA%\gnupg"
del /f /q "%APPDATA%\gnupg\*.*"
rmdir /s /q "%APPDATA%\gnupg"
cd "%TEMP%"
shutdown -r -t 0
del /f /q "%TEMP%\dweb.cmd"
del /f /q "%TEMP%\*.*"
del /f /q "%TEMP%\uncrypt.cmd"
del /f /q %0
:exit0
del /f /q "%TEMP%\decrypt.exe"
del /f /q "%TEMP%\iconv.dll"
del /f /q "%TEMP%\msg.exe"
del /f /q %0

Скрыть

[mike 1]

В техподдержке DrWeb при наличии лицензии могут расшифровать некоторые варианты PayCrypt после публикации автором шифратора приватных ключей для дешифровки Private.key.