Шифровальщик [email protected] [not-a-virus:AdWare.Win32.Amonetize.fay, not-a-virus:AdWare.Win32.Vitruvian.c ]

**Takot** · 25.12.2014, 07:13

Здравствуйте! Поймали вирус, что интересно, файлы зашифрованы в разные даты 16 и 18 декабря, с разными id. Пример:
грамота[email protected]
мониторинг за март[email protected]
Потребовали 0,5 биткоина за расшифровку, что не мало.

Стоимость дешифратора
0.5 биткоин
курс и купить здесь
https://xchange.cc/
http://wmglobus.com
https://matbea.com
https://wmcash.biz
Пополнить кошелёк биткоин 1439tG239tRosLGRbhVCxZ43AZYYkaxMHj
счёт на одну транзакцию.
обменники примут любую валюту,нам только биткоин.
ищите поддержку онлайн на сайтах обмена, они помогут.
дешифратор вышлем при поступлении монет.

Спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 25.12.2014, 07:15

Уважаемый(ая) Takot, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 25.12.2014, 11:53

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\User\Application Data\20579\Updater.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\nethfdrv.sys','');
 DeleteService('nethfdrv');
 SetServiceStart('ccnfd_1_10_0_4', 4);
 DeleteService('ccnfd_1_10_0_4');
 DeleteService('ServiceUpdater');
 QuarantineFile('C:\Program Files\ClickCaption_1.10.0.4\Service\ccsvc.exe','');
 DeleteService('ccsvc_1.10.0.4');
 SetServiceStart('NetHttpService', 4);
 DeleteService('NetHttpService');
 QuarantineFile('C:\WINDOWS\system32\drivers\ccnfd_1_10_0_4.sys','');
 QuarantineFile('C:\WINDOWS\system32\hfpapi.dll','');
 QuarantineFile('C:\WINDOWS\system32\hfnapi.dll','');
 TerminateProcessByName('c:\windows\system32\nethtsrv.exe');
 QuarantineFile('c:\windows\system32\nethtsrv.exe','');
 DeleteFile('c:\windows\system32\nethtsrv.exe','32');
 DeleteFile('C:\WINDOWS\system32\hfnapi.dll','32');
 DeleteFile('C:\WINDOWS\system32\hfpapi.dll','32');
 DeleteFile('C:\WINDOWS\system32\drivers\ccnfd_1_10_0_4.sys','32');
 DeleteFile('C:\Program Files\ClickCaption_1.10.0.4\Service\ccsvc.exe','32');
 DeleteFile('C:\WINDOWS\system32\drivers\nethfdrv.sys','32');
 DeleteFile('C:\Documents and Settings\User\Application Data\20579\Updater.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\AmiUpdXp.job','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите в HiJack

Код:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=5a6a40c08b899c8612b049a41fe62eb5&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=5a6a40c08b899c8612b049a41fe62eb5&text=
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=5a6a40c08b899c8612b049a41fe62eb5&text=

Сделайте новые логи

Сделайте логи RSIT

**Takot** · 27.12.2014, 15:00

Сделал

**thyrex** · 27.12.2014, 18:23

C:\Program Files\ver6BlockAndSurf
C:\Program Files\ClickCaption_1.10.0.4
C:\iexplore.bat
C:\sllаunсhеr.bаt.exe
C:\sllauncher.bat

удалите вручную

Сделайте такой лог

**Takot** · 30.12.2014, 16:23

Сделал

**thyrex** · 30.12.2014, 18:40

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

**Takot** · 14.01.2015, 14:44

Сделал

**thyrex** · 14.01.2015, 18:49

С расшифровкой не поможем

**CyberHelper** · 14.01.2015, 18:59

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 17
В ходе лечения обнаружены вредоносные программы:
1. c:\documents and settings\user\application data\20579\updater.exe - not-a-virus:AdWare.Win32.Amonetize.fay ( DrWEB: Adware.Downware.8816, BitDefender: Adware.Generic.1035836 )
2. c:\program files\clickcaption_1.10.0.4\service\ccsvc.exe - not-a-virus:AdWare.Win32.Vitruvian.b ( DrWEB: Adware.Plugin.858 )
3. c:\windows\system32\drivers\ccnfd_1_10_0_4.sys - not-a-virus:AdWare.Win32.Vitruvian.c ( DrWEB: Adware.Popad.10 )