На почту пришло письмо с вложенным файлом. На компе боса его открыли. Результат-зашифрованы файлы. Прогнал сканерами антивирусников и FRST.exe. Но расшифровать -- увы! Помогите.
На почту пришло письмо с вложенным файлом. На компе боса его открыли. Результат-зашифрованы файлы. Прогнал сканерами антивирусников и FRST.exe. Но расшифровать -- увы! Помогите.
Уважаемый(ая) budmash, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis с компьютера на котором непосредственно было заражение шифровальщиком.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Лог AVZ должен быть в формате virusinfo_syscheck.zip
Вам знакомо ПО? (Важно не запускайте незнакое Вам ПО):
Если незнакомо, то выполните следующее:Код:O4 - HKCU\..\Run: [cmpbbdfr] C:\Documents and Settings\jura\Application Data\acctbdus\mag_pi32.exe
HiJackThis профиксить
Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://en.v9.com/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=hp&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1406035563 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://en.v9.com/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=hp&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1406035563 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://en.v9.com/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=hp&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1406035563 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.v9.com/web/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=ds&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1378717530 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.v9.com/web/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=ds&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1378717530 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.thebestimageeditorfunapp.com/gb/uninstall/?sr=ga&lp=sag& O4 - HKCU\..\Run: [cmpbbdfr] C:\Documents and Settings\jura\Application Data\acctbdus\mag_pi32.exe
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Ознакомьтесь с правилами в которых указано как необходимо собрать логи AVZ.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Собрал все по новому
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Documents and Settings\jura\Application Data\acctbdus\mag_pi32.exe',''); QuarantineFile('C:\Documents and Settings\jura\Application Data\desktopy.ru\desktopy.exe',''); QuarantineFile('C:\DOCUME~1\jura\LOCALS~1\APPLIC~1\DProtect\eBP.dll',''); QuarantineFile('C:\DOCUME~1\jura\LOCALS~1\APPLIC~1\DProtect\eBPSD.dll',''); QuarantineFile('C:\Program Files\total commander podarok edition\programm\mpr\mpr_freader.sys',''); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cmpbbdfr','command'); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
- Сделайте лог Check Browsers' LNK и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Скрипты запустил.
Логи прикреплены.
- Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
- Распакуйте архив с утилитой в отдельную папку.
- Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
- Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
- Прикрепите этот отчет к своему следующему сообщению.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Приложите новый лог AVZ.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Отчеты прикреплены.
Знакома ли Вам ПО:
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Код:c:\program files\lines98\lines98.exe
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: AppInit_DLLs: C:\DOCUME~1\jura\LOCALS~1\APPLIC~1\DProtect\eBP.dll => No File AppInit_DLLs: ,C:\DOCUME~1\jura\LOCALS~1\APPLIC~1\DProtect\eBPSD.dll => No File HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.v9.com/web/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=ds&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1378717530 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.v9.com/web/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=ds&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1378717530 SearchScopes: HKU\S-1-5-21-57989841-1993962763-839522115-1006 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yandex.ru/search/?win=212&clid=1969032&text={searchTerms} SearchScopes: HKU\S-1-5-21-57989841-1993962763-839522115-1006 -> 9128DA878BBFE1B953AE2C96744A5F28 URL = hxxp://search.v9.com/web/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=ds&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1384154156 BHO: Octh Class -> {000123B4-9B42-4900-B3F7-F4B073EFC214} -> C:\Program Files\Orbitdownloader\orbitcth.dll => No File Toolbar: HKLM - Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll No File FF NewTab: hxxp://en.v9.com/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=hp&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1445322896 FF SearchEngineOrder.1: v9 FF SelectedSearchEngine: v9 FF Homepage: hxxp://en.v9.com/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=hp&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1445322896 FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\v9.xml [2013-09-09] CHR HKLM\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx Task: C:\WINDOWS\Tasks\klcp_update.job => CMD /C sc create KLCPU binPath CMD /V /C SET \FILE \ ProgramFiles \ Lite Codec Pack Tools CodecTweakTool exe\\ IF EXIST FILE START \CTT\ FILE /verysilent /update /freq 30 type own type interact net start KLCPU sc delete KLCPU CMD jura ShortcutWithArgument: C:\Documents and Settings\jura\Главное меню\Программы\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://en.v9.com/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=sc&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1395639791 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cmpbbdfr] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\desktopy] File: C:\Documents and Settings\jura\Application Data\desktopy.ru\desktopy.exe Folder: C:\Documents and Settings\jura\Application Data\desktopy.ru C:\Documents and Settings\jura\Application Data\desktopy.ru\desktopy.exe Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Обратите внимание имеются проблемы с файловой системой:
С расшифровкой не поможем.Код:Error: (02/23/2016 07:49:56 AM) (Source: 0) (EventID: 32767) (User: ) Description: error file fchkdsk.c line 1530 status c0000001 Error: (02/23/2016 07:49:56 AM) (Source: 0) (EventID: 32767) (User: ) Description: error file fstorage.c line 1048 status 50012 Error: (02/23/2016 07:49:56 AM) (Source: 0) (EventID: 11) (User: ) Description: \Device\Harddisk0\D Error: (02/23/2016 07:49:55 AM) (Source: 0) (EventID: 11) (User: ) Description: \Device\Harddisk0\D Error: (02/23/2016 07:49:55 AM) (Source: 0) (EventID: 11) (User: ) Description: \Device\Harddisk0\D Error: (02/23/2016 07:49:54 AM) (Source: 0) (EventID: 11) (User: ) Description: \Device\Harddisk0\D Error: (02/23/2016 07:49:54 AM) (Source: 0) (EventID: 11) (User: ) Description: \Device\Harddisk0\D Error: (02/22/2016 12:47:48 PM) (Source: 0) (EventID: 32767) (User: ) Description: error file fchkdsk.c line 1530 status c0000001 Error: (02/22/2016 12:47:48 PM) (Source: 0) (EventID: 32767) (User: ) Description: error file fstorage.c line 1048 status 50012 Error: (02/22/2016 12:47:48 PM) (Source: 0) (EventID: 11) (User: ) Description: \Device\Harddisk0\D
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Отправляю отчет.
С расшифровкой пока без шансов.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) budmash, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.