Зашифрованы файлы Word, Exel, картинки [Trojan.Win32.Yakes.ftru ]

[Romarrio]

Зашифрованы файлы Word, Exel, картинки. Предложили написать на адрес [email protected] , написали, они требуют 10000 руб., дальше не пишем...

В инструкции к форуму написано выложить ссылки на файлы, вот выложил...

Примеры файлов здесь:
https://yadi.sk/d/SIbr72roadq57 ,
https://yadi.sk/i/cDxFgh1PadsBy,
https://yadi.sk/d/sWxtDZgBadsMh

Что дальше делать, паника.....

[Info_bot]

Уважаемый(ая) Romarrio, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Romarrio]

вот логи сканирования указанными программами:

и еще есть сам файл который все это натворил, называется Attachment, тип: Программа заставка, вес: 588 кб.

[mike 1]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\documents and settings\all users\application data\wpm\wprotectmanager.exe');
 SetServiceStart('Wpm', 4);
 StopService('Wpm');
 QuarantineFile('C:\Program Files\parol_ot_failov\svchost.exe','Утка');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\G9Y3O52B\install[1].exe','');
 QuarantineFile('c:\documents and settings\all users\application data\wpm\wprotectmanager.exe','');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\WPM\wprotectmanager.exe','32');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\G9Y3O52B\install[1].exe','32');
 DeleteFile('C:\Program Files\parol_ot_failov\svchost.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','install');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','progrmma');
 DeleteService('Wpm');     
 DeleteFileMask('C:\Program Files\parol_ot_failov', '*', true, ' ');
 DeleteDirectory('C:\Program Files\parol_ot_failov');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);    
BC_Activate;
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1402653341&from=wpm0612&uid=ST3120026A_3LJ09KJHXXXX3LJ09KJH
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1402653341&from=wpm0612&uid=ST3120026A_3LJ09KJHXXXX3LJ09KJH&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1402653341&from=wpm0612&uid=ST3120026A_3LJ09KJHXXXX3LJ09KJH&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1402653341&from=wpm0612&uid=ST3120026A_3LJ09KJHXXXX3LJ09KJH
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1402653341&from=wpm0612&uid=ST3120026A_3LJ09KJHXXXX3LJ09KJH
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.qone8.com/web/?type=ds&ts=1383140996&from=cor&uid=ST3120026A_3LJ09KJHXXXX3LJ09KJH&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://start.qone8.com/web/?type=ds&ts=1383140996&from=cor&uid=ST3120026A_3LJ09KJHXXXX3LJ09KJH&q={searchTerms}
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKCU\..\Run: [install] C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\G9Y3O52B\install[1].exe

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

[Romarrio]

Новые логи:

[mike 1]

Лог MBAM где?

[Romarrio]

Извините за задержку, дети имеются.........

Вот лог MBAM:

[mike 1]

Выполните скрипт в AVZ:

Код:

begin
QuarantineFile('C:\Program Files\abobe soft\информационное извещение\svchost.exe','Утка');
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.

quarantine2.zip пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

В MBAM удалите все, кроме:

Код:

Обнаруженные файлы:  142
C:\Documents and Settings\Admin\Application Data\Rambler\Holdem\{D9527E5B-427D-450F-9FDF-351C08163520}\7.0.75.0\holdem.msi (PUP.Optional.Rambler.A) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Application Data\Rambler\RamblerUpdater\RUpdate.exe (PUP.Optional.Rambler.A) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Мои документы\Downloads\VideoConverterSetup.exe (PUP.Optional.InstallCore) -> Действие не было предпринято.
C:\Program Files\Adobe\Adobe Photoshop CS6\amtlib.dll (PUP.RiskwareTool.CK) -> Действие не было предпринято.
C:\Program Files\Microsoft Office\activator.exe (PUP.Hacktool) -> Действие не было предпринято.
C:\WINDOWS\AutoKMS\AutoKMS.exe (Trojan.AutoKMS) -> Действие не было предпринято.
D:\Дистриб\Качать видео с инета\rsload.net.Internet.Download.Manager.v6.15.Build.5.Retail\patch\Tonec.Inc.Internet.Download.Manager.v6.xx.WinALL.Incl.Keygen.and.Patch-UnREaL.exe (RiskWare.Tool.CK) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

[Romarrio]

карантин 2.zip выслал, лог MBAM прикрепил......

спасибо что возитесь со мной.......

[mike 1]

1. Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
2. Распакуйте архив с утилитой в отдельную папку
3. Запустите sitlog.exe
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
4. В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
5. По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
6. Прикрепите эти отчеты в вашей теме.

[Romarrio]

вот эти два отчета:

[mike 1]

Эти папку удалите вручную:

29.08.2014 10:45:41 ----D---- C:\Program Files\abobe soft

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Romarrio]

Просканировал, вот отчет:

А удалять что-либо нужно было? Я ничего не удалял....

[mike 1]

А удалять что-либо нужно было?

В предыдущем своем сообщении я просил удалить только 1 папку.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
• По окончанию сканирования снимите галочки со следующих строк:
  
  Код:

  Папка Найдено : C:\Documents and Settings\Admin\Application Data\Mra
  Папка Найдено : C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru
  Папка Найдено : C:\Program Files\Mail.Ru

• Нажмите кнопку "Clean" и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

[Romarrio]

очистил кроме указанных Вами, вот лог:

[mike 1]

Больше помочь особо нечем.

Пароли все смените т.к. злоумышленник мог удаленно подключаться к вашему компьютеру.

[Romarrio]

Спасибо за муки со мной, но мне немного не понятно, а что мы вообще делали?
Просто чистили комп от всяких мелких вирусишек?
Проблема ведь была изначально в том, что закодированы файлы word, exel, и jpg картинки т. е. нужно их как бы, было раскодировать..

То что мы с Вами проделали, удалили, очистили , это наверное важно и полезно, но это и до того не причиняло никаких проблем работе компьютера, сейчас все работает так же как и ранее...

Проблема осталась одна! невозможно воспользоваться закодированными файлами!

И теперь вопрос, если дать денег злоумышленникам, смогут ли они все обратно восстановить? Раскодировать? или теперь после проделанных нами инсинуаций смысла в этом нет? и можно запустить всесильную команду [format C:\] ?

[mike 1]

Файлы расшифровать без оригинального дешифратора не получится. Оригинальный дешифратор есть только у автора этого шифратора.

а что мы вообще делали?

Чистили компьютер от вирусов. У вас кстати шифратор в автозагрузке был прописан и теоретически мог дальше шифровать файлы если бы мы его не удалили.

И теперь вопрос, если дать денег злоумышленникам, смогут ли они все обратно восстановить?

Думаю смогут. Тариф у них около 10000 рублей за дешифратор.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 9
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\all users\application data\wpm\wprotectmanager.exe - not-a-virus:AdWare.Win32.WProtManager.e ( DrWEB: Trojan.Click3.8485, BitDefender: Adware.PUQF, AVAST4: Win32:Agent-ATRV [Trj] )
  2. c:\program files\abobe soft\информационное извещение\svchost.exe - Trojan.Win32.Yakes.ftru ( BitDefender: Gen:Variant.Symmi.45917, AVAST4: Win32:Crypt-RHH [Trj] )
  3. c:\program files\parol_ot_failov\svchost.exe - Trojan.Win32.Yakes.ftru ( BitDefender: Gen:Variant.Symmi.45917, AVAST4: Win32:Crypt-RHH [Trj] )