Поймал Вирус шифратор через почту [email protected] 1.2.0.0.id [Trojan-Downloader.Win32.Stantinko.av ]

[AndyLand]

Доброго времени суток.
Загрузил вирус шифратор из почты .Остановил его (наверно) при помощи точки восстановления.
Подскажите как он называется и можно ли расшифровать файлы?
Высылаю логи из FRST и avz и один из зашифрованых файлов.
Спасибо!

[Info_bot]

Уважаемый(ая) AndyLand, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\System32\d3dadapter.dll','');
 QuarantineFile('C:\Windows\System32\ir16_32.dll','');
 QuarantineFile('C:\Windows\System32\wlanmgr.dll','');
 DeleteFile('C:\Windows\System32\wlanmgr.dll','32');
 DeleteFile('C:\Windows\System32\ir16_32.dll','32');
 DeleteFile('C:\Windows\System32\d3dadapter.dll','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[AndyLand]

Всё сделал как написано.
Новые логи прилагаю.
Спасибо.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[AndyLand]

Всё сделал как написано.
Новые логи прилагаю.
Спасибо.

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
NETSVC: d3dadapter -> no filepath.
NETSVC: wlanmgr -> no filepath.
NETSVC: ir16_32 -> no filepath.
OPR Extension: (NetFilterPRO) - C:\Users\Андрей\AppData\Roaming\Opera Software\Opera Stable\Extensions\agfjdflmdlnffhlfmjdpbcoccaeamikk [2015-03-01]
OPR Extension: (Ultimate Discounter) - C:\Users\Андрей\AppData\Roaming\Opera Software\Opera Stable\Extensions\hnbekdjpdldejohkmdonijjglpohocgo [2015-01-19]
OPR Extension: (The Safe Surfing) - C:\Users\Андрей\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2015-09-28]
CHR Extension: (NetFilterPRO) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\agfjdflmdlnffhlfmjdpbcoccaeamikk [2015-03-01]
CHR Extension: (Ultimate Discounter) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhgllpapg [2015-01-19]
CHR Extension: (The Safe Surfing) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2015-12-04]
FF SearchPlugin: C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\62pjcor3.default\searchplugins\webalta-search.xml [2013-10-03]
FF Extension: The Safe Surfing - C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\62pjcor3.default\extensions\{3B4DE07A-DE43-4DBC-873F-05835FF67DCE} [2015-12-04] [not signed]
HKU\S-1-5-21-382643491-1807138001-2798015813-1000\...\Run: [] => [X]
AlternateDataStreams: C:\Users\Андрей\Local Settings:wa
AlternateDataStreams: C:\Users\Андрей\AppData\Local:wa
AlternateDataStreams: C:\Users\Андрей\AppData\Local\Application Data:wa
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[AndyLand]

Всё сделал.
Спасибо.

[thyrex]

С расшифровкой не поможем

[AndyLand]

А вирус как называется?

[AndyLand]

Здравствуйте.
Напишите пожалуйста название вируса, который я поймал.
Я понял, что расшифровать файлы не получится, но может когда-нибудь.... через несколько лет

[thyrex]

Cryakl, Encoder.567

[AndyLand]

Спасибо.А что за название (Trojan-Downloader.Win32.Stantinko.av) было дописано к названию темы ???

[thyrex]

Это детект на один из файлов, которые были отправлены в карантин

[AndyLand]

Т.е. ,как я понял, на компе присутствует этот вирус ?

[thyrex]

Уже нет

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 7
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\d3dadapter.dll - Trojan-Downloader.Win32.Stantinko.av ( BitDefender: Trojan.Generic.12276694 )