На компе зашифрованы файлы breaking bad

**budmash** · 15.02.2016, 14:08

На почту пришло письмо с вложенным файлом. На компе боса его открыли. Результат-зашифрованы файлы. Прогнал сканерами антивирусников и FRST.exe. Но расшифровать -- увы! Помогите.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 15.02.2016, 14:12

Уважаемый(ая) budmash, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 16.02.2016, 17:58

Здравствуйте,

Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis с компьютера на котором непосредственно было заражение шифровальщиком.

**budmash** · 17.02.2016, 16:38

Добрый день.

Сообщение от SQ

утилитами АВЗ и HiJackThis .

Если АВЗ это avz то логи вложены.

SQ · 17.02.2016, 17:41

Лог AVZ должен быть в формате virusinfo_syscheck.zip

Вам знакомо ПО? (Важно не запускайте незнакое Вам ПО):

Код:

O4 - HKCU\..\Run: [cmpbbdfr] C:\Documents and Settings\jura\Application Data\acctbdus\mag_pi32.exe

Если незнакомо, то выполните следующее:
HiJackThis профиксить

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://en.v9.com/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=hp&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1406035563
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://en.v9.com/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=hp&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1406035563
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://en.v9.com/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=hp&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1406035563
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.v9.com/web/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=ds&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1378717530
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.v9.com/web/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=ds&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1378717530
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.thebestimageeditorfunapp.com/gb/uninstall/?sr=ga&lp=sag&
O4 - HKCU\..\Run: [cmpbbdfr] C:\Documents and Settings\jura\Application Data\acctbdus\mag_pi32.exe

**budmash** · 18.02.2016, 16:11

Сообщение от SQ

Лог AVZ должен быть в формате virusinfo_syscheck.zip

[/CODE]

лог AVZ4 после профиксирования заархивировал вручную.

SQ · 18.02.2016, 16:56

Сообщение от budmash

лог AVZ4 после профиксирования заархивировал вручную.

Ознакомьтесь с правилами в которых указано как необходимо собрать логи AVZ.

**budmash** · 19.02.2016, 11:08

Собрал все по новому

SQ · 19.02.2016, 12:53

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end; 
 QuarantineFile('C:\Documents and Settings\jura\Application Data\acctbdus\mag_pi32.exe','');
 QuarantineFile('C:\Documents and Settings\jura\Application Data\desktopy.ru\desktopy.exe','');
 QuarantineFile('C:\DOCUME~1\jura\LOCALS~1\APPLIC~1\DProtect\eBP.dll','');
 QuarantineFile('C:\DOCUME~1\jura\LOCALS~1\APPLIC~1\DProtect\eBPSD.dll','');
 QuarantineFile('C:\Program Files\total commander podarok edition\programm\mpr\mpr_freader.sys','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cmpbbdfr','command');
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
 BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

- Сделайте лог Check Browsers' LNK и приложите его в теме.

**budmash** · 19.02.2016, 15:50

Скрипты запустил.
Логи прикреплены.

SQ · 19.02.2016, 16:40

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Приложите новый лог AVZ.

**budmash** · 22.02.2016, 14:31

Отчеты прикреплены.

SQ · 23.02.2016, 02:06

Знакома ли Вам ПО:

Код:

c:\program files\lines98\lines98.exe

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**budmash** · 23.02.2016, 11:42

Сообщение от SQ

Знакома ли Вам ПО:

Код:

c:\program files\lines98\lines98.exe

[/list]

Знакома и нужна.
Отчет после сканирования.

SQ · 24.02.2016, 01:09

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
AppInit_DLLs: C:\DOCUME~1\jura\LOCALS~1\APPLIC~1\DProtect\eBP.dll => No File
AppInit_DLLs: ,C:\DOCUME~1\jura\LOCALS~1\APPLIC~1\DProtect\eBPSD.dll => No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.v9.com/web/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=ds&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1378717530
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.v9.com/web/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=ds&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1378717530
SearchScopes: HKU\S-1-5-21-57989841-1993962763-839522115-1006 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yandex.ru/search/?win=212&clid=1969032&text={searchTerms}
SearchScopes: HKU\S-1-5-21-57989841-1993962763-839522115-1006 -> 9128DA878BBFE1B953AE2C96744A5F28 URL = hxxp://search.v9.com/web/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=ds&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1384154156
BHO: Octh Class -> {000123B4-9B42-4900-B3F7-F4B073EFC214} -> C:\Program Files\Orbitdownloader\orbitcth.dll => No File
Toolbar: HKLM - Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll No File
FF NewTab: hxxp://en.v9.com/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=hp&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1445322896
FF SearchEngineOrder.1: v9
FF SelectedSearchEngine: v9
FF Homepage: hxxp://en.v9.com/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=hp&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1445322896
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\v9.xml [2013-09-09]
CHR HKLM\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
Task: C:\WINDOWS\Tasks\klcp_update.job => CMD /C sc create KLCPU binPath CMD /V /C SET \FILE \ ProgramFiles \ Lite Codec Pack Tools CodecTweakTool exe\\ IF EXIST FILE START \CTT\ FILE /verysilent /update /freq 30 type own type interact net start KLCPU sc delete KLCPU CMD jura
ShortcutWithArgument: C:\Documents and Settings\jura\Главное меню\Программы\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://en.v9.com/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=sc&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1395639791
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cmpbbdfr]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\desktopy]
File: C:\Documents and Settings\jura\Application Data\desktopy.ru\desktopy.exe
Folder: C:\Documents and Settings\jura\Application Data\desktopy.ru
C:\Documents and Settings\jura\Application Data\desktopy.ru\desktopy.exe
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Обратите внимание имеются проблемы с файловой системой:

Код:

Error: (02/23/2016 07:49:56 AM) (Source: 0) (EventID: 32767) (User: )
Description: error file fchkdsk.c line 1530 status c0000001

Error: (02/23/2016 07:49:56 AM) (Source: 0) (EventID: 32767) (User: )
Description: error file fstorage.c line 1048 status 50012

Error: (02/23/2016 07:49:56 AM) (Source: 0) (EventID: 11) (User: )
Description: \Device\Harddisk0\D

Error: (02/23/2016 07:49:55 AM) (Source: 0) (EventID: 11) (User: )
Description: \Device\Harddisk0\D

Error: (02/23/2016 07:49:55 AM) (Source: 0) (EventID: 11) (User: )
Description: \Device\Harddisk0\D

Error: (02/23/2016 07:49:54 AM) (Source: 0) (EventID: 11) (User: )
Description: \Device\Harddisk0\D

Error: (02/23/2016 07:49:54 AM) (Source: 0) (EventID: 11) (User: )
Description: \Device\Harddisk0\D

Error: (02/22/2016 12:47:48 PM) (Source: 0) (EventID: 32767) (User: )
Description: error file fchkdsk.c line 1530 status c0000001

Error: (02/22/2016 12:47:48 PM) (Source: 0) (EventID: 32767) (User: )
Description: error file fstorage.c line 1048 status 50012

Error: (02/22/2016 12:47:48 PM) (Source: 0) (EventID: 11) (User: )
Description: \Device\Harddisk0\D

С расшифровкой не поможем.

**budmash** · 24.02.2016, 10:24

Отправляю отчет.

SQ · 24.02.2016, 11:15

С расшифровкой пока без шансов.

**CyberHelper** · 24.02.2016, 11:25

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 10
В ходе лечения вредоносные программы в карантинах не обнаружены

На компе зашифрованы файлы breaking bad (заявка № 197139)

Опции темы