Поймал шифровальщик [Trojan-Dropper.Win32.Injector.ljak ]

[Паттттт]

Здравствуйте, уважаемые хелперы.
Мне очень нужна Ваша помощь. Умоляю, не обходите стороной. Я во многом виноват перед Вами. И я много думал над этим. Простите меня, пожалуйста. Очень прошу, не бросайте меня. Логи прилагаю, но сделать их удалось только полиморфным АВЗ. Так же периодически закрывается проводник и пропадает рабочий стол, решается ручным запуском процесса explorer.exe Файлы зашифрованы. В общем поймал шифровальщик. Какой - не знаю, Антивирус Нод 32 убил какие-о файлы Readme и ещё какие-то - в результате никаких сообщений мне не выскакивало. Но все ворд, бат-файлы. картинки, текстовые файлы - зашифрованы.
Есть пример файла до и после шифрования. Пришлю по первому требованию.
Пожалуйста, помогите удалить шифровальщик, и дайте, пожалуйста, дешифратор. Если нет дешифратора - скажите, пожалуйста, почту злоумышленников, чтобы я мог купить дешифратор. в

[Info_bot]

Уважаемый(ая) Паттттт, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

procedure DeleteDirectoryF(N: String);
begin
 DeleteFileMask(N, '*', true);
 DeleteDirectory(N);
end;

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 SetServiceStart('VersionUpdService', 4);
 DeleteService('VersionUpdService');
 SetServiceStart('NTService1', 4);
 DeleteService('NTService1');
 SetServiceStart('mintcastnetworks', 4);
 DeleteService('mintcastnetworks');
 TerminateProcessByName('c:\program files\jads\jads\versionupdaterservice.exe');
 QuarantineFile('c:\program files\jads\jads\versionupdaterservice.exe','');
 TerminateProcessByName('c:\program files\jads\jads\mintcastnetworks.exe');
 QuarantineFile('c:\program files\jads\jads\mintcastnetworks.exe','');
 TerminateProcessByName('c:\program files\jads\jads\injector.exe');
 TerminateProcessByName('c:\program files\jads\jads\injectorserviceproject.exe');
 DeleteFile('c:\program files\jads\jads\injector.exe','32');
 DeleteFile('c:\program files\jads\jads\injectorserviceproject.exe','32');
 DeleteFile('c:\program files\jads\jads\mintcastnetworks.exe','32');
 DeleteFile('c:\program files\jads\jads\versionupdaterservice.exe','32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;	
ExecuteRepair(15); 
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Паттттт]

Скрипт выполнил, логи прилагаю, карантин загрузил:

Результат загрузки
Файл сохранён как 150211_130213_quarantine_54db1a951e973.zip
Размер файла 138340
MD5 bf0a7eb2af173aa143b0960c72fc0bf8
Файл закачан, спасибо!

Проводник перестал вылетать, компьютер стал работать шустрее. Скажите, пожалуйста, сам вирус мы победили? Нод 32 периодически ругается на процесс opera.exe в оперативной памяти, обычно, когда я использую Опера для выхода в интернет.
А что с расшифровкой? Файл и его зашифрованный вариант приложу по первому требованию.

- - - - -Добавлено - - - - -

Так что с вирусом?

[thyrex]

Сделайте логи RSIT

[Паттттт]

Извините, что так долго не отвечал, но было много работы, и я только сегодня смог заняться компьютером. Логи RSIT прилагаю. Каковы будут дальнейшие рекомендации?

[thyrex]

Пофиксите в HiJack

Код:

O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

Удалите вручную

C:\Windows\system32\mintcastnetworksOff.ini
C:\Windows\system32\mintcastnetworks.ini
C:\Windows\system32\mintcastnetworks.dll
C:\Program Files\Jads

Что стало с именами файлов после шифрования?

[Паттттт]

Расширение файлов *.xtbl

[thyrex]

Без шансов

[Паттттт]

Здравствуйте, опять.
Всё сделал, как Вы сказали, вроде с компом всё было нормально, даже браузеры виснуть и вылетать перестали. Но вчера вдруг начал вылетать антивиирусник Nod32. Вылетал несколько раз за день. Поэтому я сделал новые логи АВЗ и Хаййджека. Взгляните, пожалуйста.

[thyrex]

Ничего плохого

[Паттттт]

Большущее Вам спасибо!
Удачи во всём!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\programdata\uninstall information\insttray.exe - Trojan-Dropper.Win32.Injector.ljak ( AVAST4: Win32:Malware-gen )