Junior Member
Вес репутации
30
Файлы зашифрованы вирусом better call saul
Добрый день! Помогите, пожалуйста!
Вирус зашифровал текстовые, фото и видеофайлы.
пример зараженного файла http://my-files.ru/cnfefn
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) mag-i-ya , спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Здравствуйте,
Где логи согласно правилам?
Сообщение от
Info_bot
Удалите eTranslator через установку программ в панели управления.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1617462772-1297547355-346842971-1001\...\Run: [eTranslator Automatic Update] => "C:\Users\Andrey\AppData\Roaming\eTranslator\eTranslator.exe" -checkforupdates
HKU\S-1-5-21-1617462772-1297547355-346842971-1001\...\Run: [tyhjgaoygu] => explorer "hxxp://khumbatu.ru/?utm_source=uoua03&utm_content=c8e6202e20bbcb65d1e84bfc5bad2720&utm_term=5AFE969C2296EB6B6460EA81F35771DC" <===== ATTENTION
HKU\S-1-5-21-1617462772-1297547355-346842971-1001\...\MountPoints2: {aa408737-d422-11e5-856c-101f74ee10c4} - "H:\WD SmartWare.exe" autoplay=true
HKU\S-1-5-21-1617462772-1297547355-346842971-1001\...\MountPoints2: {bce6437e-b0a4-11e5-b90b-101f74ee10c4} - G:\Autorun.exe
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
ShortcutTarget: _uninst_99070924.lnk -> C:\Users\007\AppData\Local\Temp\_uninst_99070924.bat (No File)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
SearchScopes: HKLM -> DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = hxxp://dts.search-results.com/sr?src=ieb&appid=362&systemid=406&sr=0&q={searchTerms}
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = hxxp://dts.search-results.com/sr?src=ieb&appid=362&systemid=406&sr=0&q={searchTerms}
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM-x32 - Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files (x86)\Yandex\Elements\bartabhost.dll No File
Toolbar: HKU\S-1-5-21-1617462772-1297547355-346842971-1001 -> No Name - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - No File
Toolbar: HKU\S-1-5-21-1617462772-1297547355-346842971-1005 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe hxxp://www.istartpageing.com/?type=sc&ts=1448739905&z=05d75ee4303f5f32252f80bg2zcz1b1m2cetft9gaz&from=tugss&uid=HitachiXHTS547564A9E384_J2180053CPNW6CCPNW6CX
Folder: C:\Users\Public\Speedup Sessions
2016-02-19 18:01 - 2016-02-19 18:01 - 03148854 _____ C:\Users\Andrey\AppData\Roaming\E05D7E01E05D7E01.bmp
2016-02-19 12:49 - 2016-02-19 22:41 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-02-19 12:49 - 2016-02-19 22:41 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\Andrey\AppData\Local\Temp\amigo_tmp.exe
C:\Users\Andrey\AppData\Local\Temp\BundleSweetIMSetup.exe
C:\Users\Andrey\AppData\Local\Temp\Delta.exe
C:\Users\Andrey\AppData\Local\Temp\DeltaTB.exe
C:\Users\Andrey\AppData\Local\Temp\downloader.exe
C:\Users\Andrey\AppData\Local\Temp\FNP_ACT_InstallerCA.dll
C:\Users\Andrey\AppData\Local\Temp\hamsterarc_v.3.0.0.86_hfza_upd_1.exe
C:\Users\Andrey\AppData\Local\Temp\hEoVe1HjkN03.exe
C:\Users\Andrey\AppData\Local\Temp\MybabylonTB.exe
C:\Users\Andrey\AppData\Local\Temp\OzhCcohT8C01.exe
C:\Users\Andrey\AppData\Local\Temp\Setup-punto.exe
C:\Users\Andrey\AppData\Local\Temp\SkypeSetup.exe
C:\Users\Andrey\AppData\Local\Temp\ss0KJShdsKB3.exe
C:\Users\Andrey\AppData\Local\Temp\WamSfLMOppG6.exe
C:\Users\Andrey\AppData\Local\Temp\WSSetup.exe
CustomCLSID: HKU\S-1-5-21-1617462772-1297547355-346842971-1001_Classes\CLSID\{6D7AE628-FF41-4CD3-91DD-34825BB1A251}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2012\acad.exe /Automation => No File
CustomCLSID: HKU\S-1-5-21-1617462772-1297547355-346842971-1001_Classes\CLSID\{B77E471C-FBF3-4CB5-880F-D7528AD4B349}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2012\acad.exe /Automation => No File
CustomCLSID: HKU\S-1-5-21-1617462772-1297547355-346842971-1001_Classes\CLSID\{C92FB640-AD4D-498A-9979-A51A2540C977}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2012\acad.exe /Automation => No File
CustomCLSID: HKU\S-1-5-21-1617462772-1297547355-346842971-1001_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2012\acad.exe => No File
CustomCLSID: HKU\S-1-5-21-1617462772-1297547355-346842971-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2012\acadficn.dll => No File
CustomCLSID: HKU\S-1-5-21-1617462772-1297547355-346842971-1005_Classes\CLSID\{083C82AE-568E-45dd-A92C-01422CA45760}\InprocServer32 -> C:\Program Files\Autodesk\Revit Architecture 2013\Program\APIContext.dll => No File
CustomCLSID: HKU\S-1-5-21-1617462772-1297547355-346842971-1005_Classes\CLSID\{6D7AE628-FF41-4CD3-91DD-34825BB1A251}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2012\acad.exe /Automation => No File
CustomCLSID: HKU\S-1-5-21-1617462772-1297547355-346842971-1005_Classes\CLSID\{B77E471C-FBF3-4CB5-880F-D7528AD4B349}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2012\acad.exe /Automation => No File
CustomCLSID: HKU\S-1-5-21-1617462772-1297547355-346842971-1005_Classes\CLSID\{C92FB640-AD4D-498A-9979-A51A2540C977}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2012\acad.exe /Automation => No File
CustomCLSID: HKU\S-1-5-21-1617462772-1297547355-346842971-1005_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2012\acad.exe => No File
CustomCLSID: HKU\S-1-5-21-1617462772-1297547355-346842971-1005_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2012\acadficn.dll => No File
Shortcut: C:\Users\007\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_99070924.lnk -> C:\Users\007\AppData\Local\Temp\_uninst_99070924.bat (No File)
AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A1EDB939
Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt) . Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен .
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
Благодарю!
eTranslator через установку программ в панели управления не нашла.
Утилита FRST отработала полностью. Лог-файл прилагаю.
Логи сканирования утилитами AVZ и HiJackThis сделаю и приложу в ближайшее время.
- - - - -Добавлено - - - - -
Логи
Вложения
AVZ выполнить следующий скрипт .
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\PROGRA~2\SEARCH~1\Datamngr\DATAMN~1.EXE','');
QuarantineFile('C:\Users\007\AppData\Roaming\istartpageing\UninstallManager.exe','');
DeleteFile('C:\PROGRA~2\SEARCH~1\Datamngr\DATAMN~1.EXE','32');
DeleteFile('C:\Users\007\AppData\Roaming\istartpageing\UninstallManager.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{1055F4FF-4DD6-4B7F-9414-9F3B77B5BB30}','64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DATAMNGR','command');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин " вверху темы.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
Задание выполнено )))
Карантин через форму загрузить не получилось. Пишет, что файл уже был загружен. Поэтому выложила его на файлообменник: http://my-files.ru/xdkw3t
Вложения
Последний раз редактировалось mag-i-ya; 30.03.2016 в 22:12 .
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
Вложения
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
Сообщение от
SQ
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Простите! А чем это будет отличаться от того, что уже было сделано по предыдущему Вашему сообщению ?
Сообщение от
mag-i-ya
Простите! А чем это будет отличаться от того, что уже было сделано по предыдущему Вашему сообщению
?
Вы предоставили не тот лог, поэтому попросил заново это выполнить, в итоге у Вас должен быть лог вида AdwCleaner[С*].txt , где * - число от 1 до 9.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
Сообщение от
SQ
в итоге у Вас должен быть лог вида AdwCleaner[С*].txt , где * - число от 1 до 9.
Кажется, получилось )))
Вложения
Предоставьте новый лог утилиты FRST.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
Сообщение от
SQ
Предоставьте новый лог утилиты FRST.
готово...
Вложения
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM-x32 - Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files (x86)\Yandex\Elements\bartabhost.dll No File
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR Extension: (No Name) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Default\Extensions\bpgangmffjcofiknibcmfjionicohfgj [2015-11-20]
CHR Extension: (No Name) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Default\Extensions\pchfckkccldkbclgdepkaonamkignanh [2015-02-06]
CHR Extension: (No Name) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Default\Extensions\pnooffjhclkocplopffdbcdghmiffhji [2015-07-16]
OPR Extension: (No Name) - C:\Users\Andrey\AppData\Roaming\Opera Software\Opera Stable\Extensions\djflhoibgkdhkhhcedjiklpkjnoahfmg [2015-07-16]
File: C:\Windows\SysWOW64\dlumd10.dll
File: C:\Windows\SysWOW64\dlumd11.dll
File: C:\Windows\SysWOW64\dlumd9.dll
File: C:\Windows\System32\dlumd10.dll
File: C:\Windows\System32\dlumd11.dll
File: C:\Windows\System32\dlumd9.dll
Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt) . Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, сервер будет перезагружен .
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
К сожалению, с расшифровкой не поможем.
P.S. Важно: До тех пор пока не решите вопрос с расшифровкой не удаляйте каталог C:\FRST\Quarantine .
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
Сообщение от
SQ
К сожалению, с расшифровкой не поможем.
P.S. Важно: До тех пор пока не решите вопрос с расшифровкой не удаляйте каталог C:\FRST\Quarantine .
Подскажите, пожалуйста, по некоторым вопросам:
1. Почему не можете помочь?
2. Это сложный случай или смертельный?
3. Возможна ли расшифровка через сервис "помощь+"?
4. Можно ли этот каталог C:\FRST\Quarantine сохранить на съемном диске вместе с поврежденными файлами?
5. Как поступить с зашифрованными файлами?
>1. Почему не можете помочь?
На данный момент данный тип шифровальщика не подается нашими силами к дешифровки данных.
>2. Это сложный случай или смертельный?
один из сложныйх случаев.
>3. Возможна ли расшифровка через сервис "помощь+"?
Нет, если была бы возможность Вам сообщили бы.
>4. Можно ли этот каталог C:\FRST\Quarantine сохранить на съемном диске вместе с поврежденными файлами?
В карантине находяться инструкции для связи с злоумышлинниками и сами вредоносные приложения.
>5. Как поступить с зашифрованными файлами?
По возможности сделайте резервную копию, так как время не стоит на месте возможно в скором будущем поможем с расшифровкой, но опятьже обещать ничего не можем.
P.S. Если у Вас есть лицензия на продукты Лаборатории Касперского, то можете попробовать создать запрос на помощь по расшифровки данных. Но опять же гарантий не каких нет.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
Сообщение от
SQ
>4. Можно ли этот каталог C:\FRST\Quarantine сохранить на съемном диске вместе с поврежденными файлами?
В карантине находяться инструкции для связи с злоумышлинниками и сами вредоносные приложения.
Можно уточнить?
Поврежденные файлы я сейчас скидываю на съемный диск.
С ними нужно скопировать папку FRST с диска С, правильно?
Сообщение от
SQ
...время не стоит на месте возможно в скором будущем поможем с расшифровкой, но опятьже обещать ничего не можем.
Как выглядит повторное обращение с тем же вопросом? В этой же теме или нужно будет создавать новую?
И через сколько времени посоветуете снова обращаться?