CTB-Locker [Trojan.Win32.Agent.idxa, not-a-virus:WebToolbar.Win32.SearchSuite.q ]

[vladtash]

Здравствуйте!
Прошу помочь с расшифровкой файлов.
CTB-locker зашифровал все документы, архивы и jpg файлы в формате: filename.doc.jmnqozk.
Сделал скриншоты, собрал логи и сами файлы вирусы есть в архиве, в случае надобности могу предоставить.
Пожалуйста посмотрите что возможно сделать, файлов очень много нужных.
Спасибо, жду ответа!

[Info_bot]

Уважаемый(ая) vladtash, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[vladtash]

Подскажите возможно ли расшифровать файлы?
Есть надежда?

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\user\appdata\local\systemdir\setsearchm.exe','');
 TerminateProcessByName('c:\documents and settings\user\appdata\local\temp\88244633.exe');
 QuarantineFile('c:\documents and settings\user\appdata\local\temp\88244633.exe','');
 QuarantineFile('C:\Users\user\AppData\Local\Temp\ibalssa.exe','');
 DelBHO('{7CE987D5-11B3-44FC-9C3D-03069360D462}');
 DelBHO('{1FE48F08-A2AC-44AC-A21C-0556D91C50DA}');
 QuarantineFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','');
 QuarantineFile('C:\Users\user\AppData\Roaming\eTranslator\eTranslator.exe','');
 QuarantineFile('C:\Users\user\AppData\Local\Temp\NETAB1~3.EXE','');
 QuarantineFile('C:\Users\user\AppData\Local\Temp\NETAB1~2.EXE','');
 QuarantineFile('C:\Program Files (x86)\PoivY.com\PoivY\poivy.exe','');
 QuarantineFile('C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\x64\safetycrt.dll','');
 SetServiceStart('F06DEFF2-5B9C-490D-910F-35D3A9119622', 4);
 DeleteService('F06DEFF2-5B9C-490D-910F-35D3A9119622');
 SetServiceStart('WindowsMangerProtect', 4);
 DeleteService('WindowsMangerProtect');
 SetServiceStart('Update Service for advPlugin', 4);
 DeleteService('Update Service for advPlugin');
 SetServiceStart('SafetyNutManager', 4);
 DeleteService('SafetyNutManager');
 SetServiceStart('Rerun service for advPlugin', 4);
 DeleteService('Rerun service for advPlugin');
 SetServiceStart('BackupStack', 4);
 DeleteService('BackupStack');
 QuarantineFile('C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\x64\configmgrc3.cfg','');
 QuarantineFile('C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\safetycrt.dll','');
 TerminateProcessByName('c:\program files (x86)\browser tab search by ask\safetynut\safetynutmanager.exe');
 QuarantineFile('c:\program files (x86)\browser tab search by ask\safetynut\safetynutmanager.exe','');
 TerminateProcessByName('c:\program files (x86)\browser tab search by ask\safetynut\safetynut.exe');
 QuarantineFile('c:\program files (x86)\browser tab search by ask\safetynut\safetynut.exe','');
 TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
 QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
 TerminateProcessByName('c:\users\user\appdata\local\temp\netab1b.tmp.exe');
 QuarantineFile('c:\users\user\appdata\local\temp\netab1b.tmp.exe','');
 TerminateProcessByName('c:\users\user\appdata\local\temp\netab19.tmp.exe');
 QuarantineFile('c:\users\user\appdata\local\temp\netab19.tmp.exe','');
 TerminateProcessByName('c:\users\user\appdata\local\temp\netab11.tmp.exe');
 QuarantineFile('c:\users\user\appdata\local\temp\netab11.tmp.exe','');
 TerminateProcessByName('C:\Program Files (x86)\MyPC Backup\MyPC Backup.exe');
 TerminateProcessByName('c:\windows\temp\advplugin_restartonfail\installafterrebootservice0.exe');
 QuarantineFile('c:\windows\temp\advplugin_restartonfail\installafterrebootservice0.exe','');
 TerminateProcessByName('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe');
 QuarantineFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe','');
 TerminateProcessByName('c:\windows\temp\advplugin_restartonfail_exe\advplugin.exe');
 QuarantineFile('c:\windows\temp\advplugin_restartonfail_exe\advplugin.exe','');
 DeleteFile('c:\windows\temp\advplugin_restartonfail_exe\advplugin.exe','32');
 DeleteFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe','32');
 DeleteFile('c:\windows\temp\advplugin_restartonfail\installafterrebootservice0.exe','32');
 DeleteFile('C:\Program Files (x86)\MyPC Backup\MyPC Backup.exe','32');
 DeleteFile('c:\users\user\appdata\local\temp\netab11.tmp.exe','32');
 DeleteFile('c:\users\user\appdata\local\temp\netab19.tmp.exe','32');
 DeleteFile('c:\users\user\appdata\local\temp\netab1b.tmp.exe','32');
 DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
 DeleteFile('c:\program files (x86)\browser tab search by ask\safetynut\safetynut.exe','32');
 DeleteFile('c:\program files (x86)\browser tab search by ask\safetynut\safetynutmanager.exe','32');
 DeleteFile('C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\safetycrt.dll','32');
 DeleteFile('C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\x64\configmgrc3.cfg','32');
 DeleteFile('C:\Program Files (x86)\MyPC Backup\BackupStack.exe','32');
 DeleteFile('C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\x64\safetycrt.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x86');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','GoSearchRemoveAppfirefox');
 DeleteFile('C:\Users\user\AppData\Local\Temp\NETAB1~2.EXE','32');
 DeleteFile('C:\Users\user\AppData\Local\Temp\NETAB1~3.EXE','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','GoSearchRemoveAppiexplore');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','GoSearch_startsetsearch_chrome');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','GoSearch_startsetsearch_oldopera');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','GoSearch_startsetsearch_opera');
 DeleteFile('C:\Users\user\AppData\Roaming\eTranslator\eTranslator.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Update');
 DeleteFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','32');
 DeleteFile('C:\Users\user\AppData\Local\Temp\ibalssa.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\jufgfnj','64');
 DeleteFile('C:\Windows\system32\Tasks\LaunchSignup','64');
 DeleteFile('c:\documents and settings\user\appdata\local\temp\88244633.exe','32');
 DeleteFile('C:\Users\user\appdata\local\systemdir\setsearchm.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9); 
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[vladtash]

Сделал лог полного сканирования МВАМ. файл прикрепил.

[thyrex]

Поместите в карантин МВАМ всё, кроме

Код:

Processes: 4
RiskWare.Tool.CK, C:\Windows\KMService.exe, 2220, , [26a910eac6c337fffd29f36af50d7888]

Files: 200
RiskWare.Tool.CK, C:\Windows\KMService.exe, , [26a910eac6c337fffd29f36af50d7888], 
PUP.Optional.Softonic.A, C:\Users\ismoil_i\AppData\Local\Temp\KMP_3.5.0.77.exe, , [f2dd69915930ce68d1042221e21fc43c], 
PUP.Optional.Softonic, C:\Users\ismoil_i\AppData\Local\Temp\KMP_3.6.0.87.exe, , [953a7e7c5930ab8b9bdcd8502dd4946c], 
Worm.VB, D:\fayzulla\??N?????N??°????N?\Vista Automated Activation Crack v3.0.exe, , [f6d98e6cc8c1d2643b32adca58aa43bd], 
RiskWare.Tool.CK, D:\fayzulla\??N?????N??°????N?\AcroXPro_rus\Adobe Keygen.exe, , [7857b545b4d59b9b05b7be275ca50df3], 
RiskWare.Tool.HCK, D:\fayzulla\??N?????N??°????N?\Nero Micro 8.3.2.1\keymaker.exe, , [6768a951fe8b16208cb60675649e718f], 
RiskWare.Tool.CK, D:\fayzulla\??N?????N??°????N?\office 2007\Office_Enterprise_2007_key.exe, , [97388c6e484190a64f7d535f48bd3ac6], 
Riskware.Crk, D:\fayzulla\??N?????N??°????N?\office2010\mini-KMS_Activator_v1.053_RUS.exe, , [418e68922d5c69cdd93a758815ebfd03], 
Malware.Packer.Gen, D:\fayzulla\??N?????N??°????N?\winrar\crack_WinRar-3.70\patch.exe, , [616e35c5444585b1dacf650a46ba6b95],

Новые логи по правилам где?

+ Сделайте логи RSIT

[vladtash]

Все сделал

[thyrex]

Пофиксите в HiJack

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1418230876&from=cor&uid=SATAXSSD_87840726190800006567
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1418230876&from=cor&uid=SATAXSSD_87840726190800006567
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1418230876&from=cor&uid=SATAXSSD_87840726190800006567&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1418230876&from=cor&uid=SATAXSSD_87840726190800006567&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1418230876&from=cor&uid=SATAXSSD_87840726190800006567
O4 - HKCU\..\Run: [amigo] C:\Users\user\AppData\Local\Amigo\Application\amigo.exe --no-startup-window
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF0454DA-28B4-4316-AD74-28E4BF0BB7F1}: NameServer = 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F6754FEF-DF19-4D0D-B89C-3AFA433CE340}: NameServer = 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1

Поисковый плагин GoSearch удалите в Firefox

Список установленных расширений для Firefox напишите

Удалите SpyHunter

Удалите вручную

C:\Users\user\AppData\Roaming\eTranslator
C:\Users\user\AppData\Roaming\Enigma Software Group
C:\Windows\system32\drivers\EsgScanner.sys
C:\Program Files\Enigma Software Group
C:\ProgramData\E1864A66-75E3-486a-BD95-D1B7D99A84A7
C:\ProgramData\SafetyNut
C:\ProgramData\WindowsMangerProtect
C:\Users\user\AppData\Roaming\sweet-page
C:\Program Files (x86)\MyPC Backup
C:\Users\user\AppData\Roaming\advPlugin
C:\Program Files (x86)\advPlugin

[vladtash]

Все сделал.
Список расширений Firefox:

Видеокодек OpenH264, предоставленный Cisco Systems, Inc.
Google Update
Java(TM) Platform SE 8 U25
Java Deployment Toolkit 8.0.250.18
Html5 location provider
iTunes Application Detector
Shockwave Flash
Picasa
Intel® Identity Protection Technology
Google Earth Plugin
Adobe Acrobat
Microsoft Office 2010

[thyrex]

С расшифровкой не поможем

http://virusinfo.info/announcement.php?f=46&a=52

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 17
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\browser tab search by ask\safetynut\safetycrt.dll - not-a-virus:WebToolbar.Win32.SearchSuite.q ( AVAST4: Win32:Malware-gen )
  2. c:\program files (x86)\browser tab search by ask\safetynut\safetynut.exe - not-a-virus:WebToolbar.Win32.SearchSuite.q
  3. c:\program files (x86)\browser tab search by ask\safetynut\safetynutmanager.exe - not-a-virus:WebToolbar.Win32.SearchSuite.q
  4. c:\program files (x86)\browser tab search by ask\safetynut\x64\safetycrt.dll - not-a-virus:WebToolbar.Win32.SearchSuite.q
  5. c:\users\user\appdata\local\systemdir\setsearchm.e xe - Trojan.Win32.Agent.idxa ( AVAST4: Win32:Agent-AVKP [Trj] )