Добрый день форумчане, вопрос в следующем - принесли ноутбук, мол документы не открываются. Глянул, а там червь фантомас, в добавок нет антивируса. Поискав информацию следовал рекомендациям - не переустонавливать и обновлять систему. Логи прилогаю.
Добрый день форумчане, вопрос в следующем - принесли ноутбук, мол документы не открываются. Глянул, а там червь фантомас, в добавок нет антивируса. Поискав информацию следовал рекомендациям - не переустонавливать и обновлять систему. Логи прилогаю.
Последний раз редактировалось unREAL2004; 24.10.2014 в 13:35.
Уважаемый(ая) unREAL2004, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Полазив по системе нашёл зловреда, он расположен в C:\Program Files (x86)\WinRar, а имя его - codec.exe (прописан в автозагрузке). Открыв файл Карта.jpg.id-{UWWXYZAAGHHIJJJKLMMNNOPPQRSSSTUUVWWX-14.10.2014 12@44@551464719}-email-fantomass1998...er-4.1.1.0.cbf в вордпаде обнаружил в конце следующее:
щA{0E557D985E4E342FBA1F653920124C01}{6AE8F273FEEC0 F9D0768AE3084E9A140}{29}{0}{255}{1785}{255}{75990} {255}{293498}{44}{20}{75}{23}{97}{61}{35}{43}{94}{ 37}{85}{37}{88}{37}{88}{36}{54}{99}{57}{5}{57}{72} {27}{75}{74}{47}{95}{47}{98}{50}{98}{46}{98}{49}{1 }{49}{1}{52}{100}{58}{9A734B982CEABFFEC60EA25B0D0D F9C4}{UWWXYZAAGHHIJJJKLMMNNOPPQRSSSTUUVWWX-14.10.2014 12@44@551464719}{Карта.jpg}{CRYPTENDBLACKDC}
Могу выслать зловреда и файлы тока скажите куда выложить!
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\user\applic~1\digita~1\update~1\update~1.exe',''); QuarantineFile('C:\Users\user\appdata\roaming\digita~1\update~1\update~1.exe',''); QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe',''); DelBHO('{98889811-442D-49dd-99D7-DC866BE87DBC}'); QuarantineFile('C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.8.7.2\BabylonToolbarTlbr.dll',''); DelBHO('{fe063412-bea4-4d76-8ed3-183be6220d17}'); QuarantineFile('C:\Program Files (x86)\BonanzaDeals\BonanzaDealsIE.dll',''); DelBHO('{79E1CFFB-E2E0-436C-B82A-9902BBEA6391}'); QuarantineFile('C:\Program Files (x86)\WebBars\Basement\Extension32.dll',''); DelBHO('{17177FAA-3830-43D3-A70B-FDE532676B1E}'); DelBHO('{2EECD738-5844-4a99-B4B6-146BF802613B}'); QuarantineFile('C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.8.7.2\bh\BabylonToolbar.dll',''); QuarantineFile('C:\Program Files (x86)\tooldev342\Weatherbar\TracersToolbarBHO_x86.dll',''); QuarantineFile('c:\progra~3\browse~1\261040~1.25\{c16c1~1\browse~1.dll',''); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Users\user\AppData\Roaming\ZZima\zzima_loader\nloader.exe',''); QuarantineFile('C:\Users\user\AppData\Local\Yandex\browser.bat',''); QuarantineFile('C:\Program Files (x86)\test\Bind.exe',''); QuarantineFile('C:\Program Files (x86)\WinRar\codec.exe',''); QuarantineFile('C:\Program Files (x86)\WebBars\Basement\ExtensionUpdaterService.exe',''); QuarantineFile('C:\Users\user\AppData\Roaming\VOPackage\VOsrv.exe',''); DeleteService('Update Service for WebBars'); DeleteService('servervo'); DeleteService('gupdatem'); DeleteService('gupdate'); QuarantineFile('C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe',''); DeleteService('bonanzadealslivem'); DeleteService('bonanzadealslive'); QuarantineFile('c:\users\user\appdata\roaming\zzima\zzima_loader\zzimalauncher.exe',''); DeleteFile('C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe','32'); DeleteFile('C:\Users\user\AppData\Roaming\VOPackage\VOsrv.exe','32'); DeleteFile('C:\Program Files (x86)\WebBars\Basement\ExtensionUpdaterService.exe','32'); DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32'); DeleteFile('C:\Program Files (x86)\WinRar\codec.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','progrmma'); DeleteFile('C:\Program Files (x86)\test\Bind.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','test'); DeleteFile('C:\Users\user\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('c:\progra~3\browse~1\261040~1.25\{c16c1~1\browse~1.dll','32'); DeleteFile('C:\Program Files (x86)\tooldev342\Weatherbar\TracersToolbarBHO_x86.dll','32'); DeleteFile('C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.8.7.2\bh\BabylonToolbar.dll','32'); DeleteFile('C:\Program Files (x86)\WebBars\Basement\Extension32.dll','32'); DeleteFile('C:\Program Files (x86)\BonanzaDeals\BonanzaDealsIE.dll','32'); DeleteFile('C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.8.7.2\BabylonToolbarTlbr.dll','32'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64'); DeleteFile('C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job','64'); DeleteFile('C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore','64'); DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA','64'); DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsUpdate','64'); DeleteFile('C:\Users\user\appdata\roaming\digita~1\update~1\update~1.exe','32'); DeleteFile('C:\Users\user\applic~1\digita~1\update~1\update~1.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
прилогаю логи
как мв дойдёт выложу
и ещё - связался с мошенниками по 1-й почте, отправил 2 файла, расшифровали, мол убедится что расшифруют, тока за расшифровку требуют 30 000 руб. Файлы магу прикрепить или выложить на обменник (зашифрованные и расшифрованные).
Пофиксите в HiJack
Удалите файлы и папкиКод:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c9b65c89720405f1f38a6daf0ddeb660&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c9b65c89720405f1f38a6daf0ddeb660&text={searchTerms} O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (file missing) O2 - BHO: ү迍ail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files (x86)\google\googletoolbar1.dll (file missing) O2 - BHO: è贠콭㡧ᥪ枭 {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - C:\Program Files (x86)\Yandex\FastDial\fastdial.dll (file missing) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (file missing) O3 - Toolbar: Ю鲪 WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
C:\Users\user\AppData\Roaming\ap_logs
C:\Users\user\AppData\Roaming\VOPackage
C:\ProgramData\help.bat
C:\firefox.bat
C:\opera.bat
C:\Users\user\AppData\Roaming\Baidu
C:\Windows\system32\drivers\bd0001_1.sys
C:\ProgramData\Baidu
C:\Program Files (x86)\Baidu
C:\Users\user\AppData\Roaming\WebBars
C:\Users\user\AppData\Roaming\eTranslator
C:\Program Files (x86)\WebBars
C:\Program Files\tooldev342
C:\Program Files (x86)\tooldev342
C:\Program Files (x86)\Mobogenie
C:\Users\user\AppData\Roaming\newnext.me
C:\Program Files (x86)\BonanzaDealsLive
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
пофиксил и удалил, жду завершения сканирования мбам и вышлю лог - потом надо перезагрузиться?
Именно так
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
лог антималвайр
Поместите в карантин МВАМ всё, кроме
Код:Trojan.Agent.CK, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\TNod, , [665bff1805770c2a2849ff3d6a9baa56], Registry Values: 7 Trojan.Agent.CK, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|TNOD UP, "C:\Program Files\TNod User & Password Finder\TNODUP.exe" /i, , [e0e16fa896e689ad7ef32b11bc4926da] Files: 41 Trojan.Agent.CK, C:\Program Files\TNod User & Password Finder\TNODUP.exe, , [e0e16fa896e689ad7ef32b11bc4926da], Trojan.Agent.CK, C:\Program Files\TNod User & Password Finder\uninst-tnod.exe, , [665bff1805770c2a2849ff3d6a9baa56],
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот ж***, после того, как вылажил лог бук рубанулся - поставил снова на скан, как дойдёт всё в карантин отправлю. Есть шанс на расшифровку файлов? Если нет то хотяб помогу с изучением зловреда.
Мы с расшифровкой не поможем.
Вебовцы что-то придумали, но нужна действующая лицензия на их продукт
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
И ещё немного инфы про самого вымогателя:
Re: Расшифровка файлов Распечатать
24 окт. в 17:46
Фантомас Разбушевался <[email protected]>
Кому
Здравствуйте, возврат файлов стоит 30.000 рублей
24 окт. в 13:20
жду расшифровщик 24.10.2014, 17:20,> Карта.jpg.id-{UWWXYZAAGHHIJJJKLMMNNOPPQRSSSTUUVWWX-14.10.2014
--
ПОЧТА НАХОДИТСЯ ПОД УГРОЗОЙ ВЗЛОМА!!!! Памятка, чтобы понять, когда почта взломана:
1. Отказ расшифровки файлов на пробу - Вам просто ОБЯЗАНЫ расшифровать 1-2 файла на проверку, если Вам в этом всячески отказывают - почта взломана и платить ЗАПРЕЩЕНО, т.к. файлы не вернут.
2. Смена реквизитов - если Вам расшифровали файлы в качестве гарантии и выдали реквизиты, то их никто менять НЕ БУДЕТ. Но если украдут нашу почту, то Вам сообщат о том, что у нас сменились реквизиты - НЕ ВЕРЬТЕ. В любом случае платите на тот кошелек, который Вам дали вначале (предварительно убедившись в том, что мы способны вернуть файлы), как мы заметим перевод денег - мы с Вами свяжемся в ЛЮБОМ случае.
НИ В КОЕМ СЛУЧАЕ НЕ ВЕДИТЕСЬ НИ НА КАКИЕ ОБЪЯСНЕНИЯ ПО ОТКАЗУ В ГАРАНТИЯХ И СМЕНЕ РЕКВИЗИТОВ - ЕСЛИ ЛЮБЫЕ ИЗ ЭТИХ ПУНКТОВ ПРОИЗОШЛИ С ВАМИ, ЗНАЧИТ ПОЧТА ВЗЛОМАНА И ПЛАТИТЬ ЗАПРЕЩЕНО!!!!
после этого пришло письмо с 2 расшифрованными файлами с этого адреса. Далее пришло вот что:
Re: расшифровка файла 24 окт. в 20:37
[email protected]
Кому
15.000р на QIWI-кошелек +79650795813.
После оплаты я вышлю программу-дешифратор
Вот так ответили с запасного мыла
- - - - -Добавлено - - - - -
Файлы отправил в карантин, перезагрузился.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\program files (x86)\winrar\codec.exe - Trojan-Ransom.Win32.Cryakl.bo ( DrWEB: Trojan.Encoder.567, BitDefender: Trojan.GenericKD.1923480, AVAST4: Win32:Malware-gen )
- c:\users\user\appdata\roaming\digita~1\update~1\up date~1.exe - not-a-virus:AdWare.Win32.DealPly.y ( DrWEB: Adware.Shopper.391, AVAST4: Win32:Rotbrow-B [Trj] )
- c:\users\user\applic~1\digita~1\update~1\update~1. exe - not-a-virus:AdWare.Win32.DealPly.y ( DrWEB: Adware.Shopper.391, AVAST4: Win32:Rotbrow-B [Trj] )
Уважаемый(ая) unREAL2004, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.