Заражение и шифровальщик XTBL [Trojan-Downloader.Win32.Dofoil.brlc ]

[DinaMuS]

Привет всем.

Где-то поймал вирус и он переименовал медийные и офисные файлы в разные кракозябры и присвоил им расширение .xtbl.
Было выполнено сканирование и чистка CureIt. Выкладываю требуемые логи.

[Info_bot]

Уважаемый(ая) DinaMuS, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 QuarantineFile('C:\Users\1\AppData\Roaming\duvtesvs\vcidbtfa.exe','');
 DeleteFile('C:\Users\1\AppData\Roaming\duvtesvs\vcidbtfa.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PDFlite');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

1. Скачайте Check Browsers' LNK и сохраните архив с утилитой на Рабочем столе
2. Распакуйте архив с утилитой в отдельную папку
3. Запустите Check Browsers LNK.exe
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
4. После окончания работы программы в папке Log будет сохранен отчет Check_Browsers_LNK.log
5. Прикрепите этот отчет в вашей теме.

[DinaMuS]

Пожалуйста.

[mike 1]

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[DinaMuS]

Готово.

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[DinaMuS]

Готово.

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-631088843-1429897600-3660290593-1000\...\Run: [] => [X]
  GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
  SearchScopes: HKU\S-1-5-21-631088843-1429897600-3660290593-1000 -> F001E9AA241E23288514A008CA3865DA URL = http://search.us.com/serp?guid={370A1DF9-D940-4232-93BA-C818070281D3}&action=default_search&k={searchTerms}
  SearchScopes: HKU\S-1-5-21-631088843-1429897600-3660290593-1000 -> {9FFF07E4-E802-430C-AE11-3C946C0D4D5F} URL = http://search.us.com/serp?guid={94EEFB69-7687-4CDE-BA92-DA7ABB24790C}&action=default_search&k={searchTerms}
  Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
  Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
  Toolbar: HKLM-x32 - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll No File
  Toolbar: HKLM-x32 - Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files (x86)\Yandex\Elements\bartabhost.dll No File
  Toolbar: HKU\S-1-5-21-631088843-1429897600-3660290593-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
  Toolbar: HKU\S-1-5-21-631088843-1429897600-3660290593-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
  Toolbar: HKU\S-1-5-21-631088843-1429897600-3660290593-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=79335e10522e369d27e59f26ac160dad&text= <==== ATTENTION
  FF Plugin: @tongbu.com/tongbu,version=0.1 -> C:\Program Files\Tongbu\Addin\npTongbuAddin.dll [No File]
  FF Plugin-x32: @tongbu.com/tongbu,version=0.1 -> C:\Program Files\Tongbu\Addin\npTongbuAddin.dll [No File]
  CHR Extension: (Record Page) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\gajffmccnjdkinpfnnfhpkajphcbnjil [2015-06-30]
  CHR Extension: (Record Page) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\ioldkaaghkinkaahpkieimlclilnkana [2015-07-09]
  CHR Extension: (Универсальный перевод для Chrome) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\oadboiipflhobonjjffjbfekfjcgkhco [2015-05-23]
  CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\ofdgafmdegfkhfdfkmllfefmcmcjllec [2015-07-10]
  CHR Extension: (Метабар.Советник) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\dgpnbgjdpnnpcplpojgghlkmjfbpnklj [2013-10-09]
  CHR HKLM-x32\...\Chrome\Extension: [dgpnbgjdpnnpcplpojgghlkmjfbpnklj] - C:\Program Files (x86)\Common Files\Metabar\crx\mbr-chrome.crx <not found>
  CHR HKLM-x32\...\Chrome\Extension: [goalojoobcfkhddpbjcmhdceeegmaphh] - http://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - https://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - http://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - https://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - https://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - https://clients2.google.com/service/update2/crx
  S2 Update HypeNet; "C:\Program Files (x86)\HypeNet\updateHypeNet.exe" [X]
  S4 Update SmarterPower; "C:\Program Files (x86)\SmarterPower\updateSmarterPower.exe" [X]
  S2 Util HypeNet; "C:\Program Files (x86)\HypeNet\bin\utilHypeNet.exe" [X]
  S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X]
  2015-06-30 03:24 - 2015-07-09 18:23 - 00000000 ____D C:\Users\1\AppData\Roaming\32444335-1435616695-5730-4632-A0B3CC80C19F
  2015-06-30 03:21 - 2015-06-30 16:34 - 00000258 __RSH C:\Users\Все пользователи\ntuser.pol
  2015-06-30 03:21 - 2015-06-30 16:34 - 00000258 __RSH C:\ProgramData\ntuser.pol
  2015-06-30 03:21 - 2015-06-30 03:21 - 00000144 ____H C:\Users\1\AppData\Local\YandexWorking.bat
  2015-06-30 03:21 - 2015-06-30 03:21 - 00000008 __RSH C:\Users\1\ntuser.pol
  2015-06-30 03:21 - 2015-04-28 22:43 - 00226608 ____H C:\Users\1\AppData\Local\YаndехWоrking.bаt.exe
  2015-06-30 03:20 - 2015-06-02 00:16 - 00814288 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
  2015-06-23 14:35 - 2015-06-25 15:21 - 00000000 __SHD C:\Users\Все пользователи\Windows
  2015-06-23 14:35 - 2015-06-25 15:21 - 00000000 __SHD C:\ProgramData\Windows
  2015-06-19 19:34 - 2015-06-19 19:34 - 00000000 ____D C:\Users\1\AppData\Roaming\MailProducts
  2015-06-05 18:37 - 2015-06-05 18:37 - 0260876 _____ (VuuPC Limited) C:\Users\1\AppData\Local\nsa2063.tmp
  2015-06-05 17:14 - 2015-06-05 17:13 - 0613255 _____ (CMI Limited) C:\Users\1\AppData\Local\nsbD945.tmp
  2015-06-05 17:33 - 2015-06-05 17:33 - 0613255 _____ (CMI Limited) C:\Users\1\AppData\Local\nsp6C22.tmp
  2015-06-30 03:21 - 2015-06-30 03:21 - 0000144 ____H () C:\Users\1\AppData\Local\YandexWorking.bat
  2015-06-30 03:21 - 2015-04-28 22:43 - 0226608 ____H () C:\Users\1\AppData\Local\YаndехWоrking.bаt.exe
  Task: {0AC74D0D-04A7-4998-94F4-D654C48DF43B} - System32\Tasks\ProtectedSearch\Protected Search => C:\Program Files (x86)\Protected Search\ProtectedSearch.exe <==== ATTENTION
  Task: {7039E1BD-F456-448A-9D8E-0D239D42E173} - \TebeInteresno -> No File <==== ATTENTION
  Task: C:\Windows\Tasks\Bidaily Synchronize Task[8da6].job => c:\programdata\{672e43f0-4cd9-9856-672e-e43f04cd0fc1}\hqghumeaylnlf.exe <==== ATTENTION
  FirewallRules: [{08E39BD1-1497-43C9-95B3-4691DA3D11C7}] => (Allow) C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe
  FirewallRules: [{7083A121-461D-456C-BE4F-7F0B4CF3D55A}] => (Allow) C:\Program Files (x86)\Mobogenie3\mobogenieP2sp.exe
  FirewallRules: [{36626E39-D6B0-46EE-B2E3-E97484F5DB94}] => (Allow) C:\Program Files (x86)\Mobogenie3\mobogenieP2sp.exe
  EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[DinaMuS]

Готово.

[mike 1]

Логи в порядке. С расшифровкой не поможем.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\1\appdata\roaming\duvtesvs\vcidbtfa.exe - Trojan-Downloader.Win32.Dofoil.brlc ( AVAST4: Win32:Dropper-gen [Drp] )