Шифровальщик [UDS:DangerousObject.Multi.Generic ]

[IUnknown]

Добрый день, помогите пожалуйста, все нужные файлы зашифрованы шифровальщиком [[email protected]].cryptobyte, проблема аналогична теме https://virusinfo.info/showthread.php?t=211584 ,
но ключ другой вероятно, поэтому расшифровка с ключом из этого поста не помогла.
В вложении лог файл, в 4кв.7zip файлы зашифрованные и аналогичные не зашифрованные.

[Info_bot]

Уважаемый(ая) IUnknown, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Логи переделайте без запущенного Cureit

[IUnknown]

логи в вложении

[mike 1]

Развели помойку на компьютере. Небось как всегда у бухгалтера права Администратора

Деинсталлируйте:

Код:

AVG SafeGuard by Ask
Compatible Web Directory
GamesDesktop 033.005010142
GamesDesktop 033.005010144
globalupdate Helper
HP Defender
SmartWeb
SnapDo
Software Version Updater
SpaceSoundPro
SpaceSoundPro Service
SpeedUpMyPC
SVH
SwiftSearch 1.10.0.25
Web Amplified

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 DeleteService('Windows Security');
 DeleteService('SSFK');
 StopService('Windows Services');
 DeleteService('Windows Services');
 StopService('Windows RDP');
 DeleteService('Windows RDP');
 StopService('Windows IE');
 DeleteService('Windows IE');
 StopService('Windows Host');
 DeleteService('Windows Host');
 TerminateProcessByName('c:\perflogs\system\win32\wudfhost.exe');
 QuarantineFile('c:\perflogs\system\win32\wudfhost.exe','');
 TerminateProcessByName('c:\perflogs\system\localhost\ui0detect.exe');
 QuarantineFile('c:\perflogs\system\localhost\ui0detect.exe','');
 TerminateProcessByName('c:\perflogs\system\intel\safesurf.exe');
 QuarantineFile('c:\perflogs\system\intel\safesurf.exe','');
 TerminateProcessByName('c:\perflogs\system\microsoft\lsass.exe');
 QuarantineFile('c:\perflogs\system\microsoft\lsass.exe','');
 DeleteFile('c:\perflogs\system\microsoft\lsass.exe','32');
 DeleteFile('c:\perflogs\system\intel\safesurf.exe','32');
 DeleteFile('c:\perflogs\system\localhost\ui0detect.exe','32');
 DeleteFile('c:\perflogs\system\win32\wudfhost.exe','32');
 DeleteFile('C:\Program Files\SFK\SSFK.exe','32');
 DeleteFile('C:\PerfLogs\System\win32\WUDFHost.exe','32');
 DeleteFile('D:\Distrib\BeTwinServiceXP.exe','32');
 DeleteFile('C:\Windows\Tasks\40db1533-f551-4998-8bca-934da85073e3-1-6.job','32');
 DeleteFile('C:\Windows\Tasks\40db1533-f551-4998-8bca-934da85073e3-1-7.job','32');
 DeleteFile('C:\Windows\Tasks\40db1533-f551-4998-8bca-934da85073e3-10_user.job','32');
 DeleteFile('C:\Windows\Tasks\40db1533-f551-4998-8bca-934da85073e3-11.job','32');
 DeleteFile('C:\Windows\Tasks\40db1533-f551-4998-8bca-934da85073e3-4.job','32');
 DeleteFile('C:\Windows\Tasks\40db1533-f551-4998-8bca-934da85073e3-5.job','32');
 DeleteFile('C:\Windows\Tasks\40db1533-f551-4998-8bca-934da85073e3-5_user.job','32');
 DeleteFile('C:\Windows\Tasks\9qUQcmdFoYNNW2vgPiFsbvx.job','32');
 DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
 DeleteFile('C:\Windows\Tasks\newSI_42075.job','32');
 DeleteFile('C:\Windows\Tasks\SpeedUpMyPC Maintenance.job','32');
 DeleteFile('C:\Windows\Tasks\SpeedUpMyPC Startup.job','32');
 DeleteFile('C:\Windows\system32\Tasks\40db1533-f551-4998-8bca-934da85073e3-1-6','32');
 DeleteFile('C:\Windows\system32\Tasks\40db1533-f551-4998-8bca-934da85073e3-1-7','32');
 DeleteFile('C:\Windows\system32\Tasks\40db1533-f551-4998-8bca-934da85073e3-11','32');
 DeleteFile('C:\Windows\system32\Tasks\40db1533-f551-4998-8bca-934da85073e3-4','32');
 DeleteFile('C:\Windows\system32\Tasks\40db1533-f551-4998-8bca-934da85073e3-5','32');
 DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','32');
 DeleteFile('C:\Windows\system32\Tasks\Browser Balance','32');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','32');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_42075','32');
 DeleteFile('C:\Windows\system32\Tasks\pcoductpro','32');
 DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','32');
 DeleteFile('C:\Windows\system32\Tasks\SpeedUpMyPC Maintenance','32');
 DeleteFile('C:\Windows\system32\Tasks\SpeedUpMyPC Startup','32');
 DeleteFile('C:\Windows\system32\Tasks\SwiftSearch Auto Updater 1.10.0.25 Core','32');
 DeleteFile('C:\Windows\system32\Tasks\SwiftSearch Auto Updater 1.10.0.25 Pending Update','32');
 DeleteFile('C:\Windows\system32\Tasks\WindowsUpdater','32');
 DeleteFile('C:\Users\Бухгалтер\AppData\Roaming\WindowsUpdater\Updater.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте повторные логи по правилам

1. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
2. Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
3. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
4. Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

- - - - -Добавлено - - - - -

+ Несколько зашифрованных файлов пришлите для теста расшифровки.

[IUnknown]

Все сделал, по Вашей инструкции , на последнем шаге угрозы не удалял. И этот компьютер отключен от интернета, важно это или нет? Файлы в 4кв.7z это файлы зашифрованные и точно такие же не зашифрованные.

[mike 1]

1. Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
2. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
3. Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Файлы в 4кв.7z это файлы зашифрованные и точно такие же не зашифрованные.

Прочитайте пожалуйста какие файлы вас просили прислать. Мне другие зашифрованные файлы нужны (лучше по 2-3 doc, docx, xls, xlsx, jpg, png)

[IUnknown]

сделал, jpg не отправить пишет предел по размеру загруженных файлов

[mike 1]

• Скачайте отсюда Malwarebytes' Anti-Malware или с зеркала.
• Установите MBAM с настройками по умолчанию.
• После установки в главном окне программы, выберите "Параметры".
• В параметрах перейдите на вкладку "Личный кабинет" и нажмите на кнопку "Деактивировать ознакомительную премиум версию".
• При появлении окошка предупреждения, нажмите "Yes".
• Обновите базы, выберите "Проверка" => "Выборочное сканирование", нажмите "Настроить сканирование".
• Сделайте настройки как показано на рисунке ниже:
  
  
  
• Для сканирование отметьте все доступные диски и нажмите "Запустить проверку"
  
  Самостоятельно ничего не удаляйте!!!.
  
  
• По окончанию проверки, нажмите на кнопку "Сохранить результаты проверки", результат проверки сохраните в текстовой файл.
• Сохраните лог на рабочий стол.
• Прикрепите этот лог к следующему вашему сообщению.

Инструкции по расшифровке файлов выдам в конце лечения.

[IUnknown]

Вчера долго проверял, не дождался окончания, сейчас сделал экспорт из результатов сканирования.

[mike 1]

Повторите сканирование в MBAM и удалите все, кроме:

Код:

Файл: 46
HackTool.Agent, C:\WINDOWS\SYSTEM32\CRYPT.DLL, Проигнорировано пользователем, [437], [146769],1.0.1905

Только после этого скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[IUnknown]

сделал

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
   
   Код:

   CreateRestorePoint:
   CloseProcesses:
   HKLM\...\Run: [] => [X]
   File: C:\Windows\WindowsMobile\wmdc.exe
   GroupPolicyScripts: Restriction <======= ATTENTION
   CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
   2017-04-28 05:36 - 2017-04-28 05:36 - 06229857 _____ C:\Users\Бухгалтер\AppData\Roaming\1.bmp
   2017-05-09 10:09 - 2015-11-25 21:39 - 00000000 ____D C:\Users\Главбух\AppData\Local\3335B280-1448487541-11DD-A559-08606E6D3891
   2017-05-09 10:09 - 2015-11-25 19:35 - 00000000 ____D C:\Users\Главбух\AppData\Local\3335B280-1448480115-11DD-A559-08606E6D3891
   2017-05-09 10:09 - 2015-11-23 14:40 - 00000000 ____D C:\Users\Главбух\AppData\Local\3335B280-1448289657-11DD-A559-08606E6D3891
   2017-05-09 10:09 - 2015-11-19 18:12 - 00000000 ____D C:\Users\Главбух\AppData\Local\3335B280-1447956773-11DD-A559-08606E6D3891
   2017-05-09 10:09 - 2015-11-19 14:08 - 00000000 ____D C:\Users\Главбух\AppData\Local\3335B280-1447942128-11DD-A559-08606E6D3891
   2017-05-09 10:09 - 2015-11-12 20:48 - 00000000 ____D C:\Users\Бухгалтер\AppData\Local\3335B280-1447361316-11DD-A559-08606E6D3891
   2017-05-09 10:09 - 2015-11-11 20:54 - 00000000 ____D C:\Users\Все пользователи\ZTJxuTpLxf
   2017-05-09 10:09 - 2015-11-11 20:54 - 00000000 ____D C:\Users\Все пользователи\uXuoum
   2017-05-09 10:09 - 2015-11-11 20:54 - 00000000 ____D C:\ProgramData\ZTJxuTpLxf
   2017-05-09 10:09 - 2015-11-11 20:54 - 00000000 ____D C:\ProgramData\uXuoum
   2017-05-09 10:09 - 2015-11-11 11:19 - 00000000 ____D C:\Users\Все пользователи\CqQUUGxzu
   2017-05-09 10:09 - 2015-11-11 11:19 - 00000000 ____D C:\ProgramData\CqQUUGxzu
   2017-05-09 10:09 - 2015-11-11 09:37 - 00000000 ____D C:\Users\Все пользователи\tenFmFjcm
   2017-05-09 10:09 - 2015-11-11 09:37 - 00000000 ____D C:\ProgramData\tenFmFjcm
   2017-05-09 10:09 - 2015-11-11 09:21 - 00000000 ____D C:\Users\Все пользователи\TEeCzalTl
   2017-05-09 10:09 - 2015-11-11 09:21 - 00000000 ____D C:\Users\Все пользователи\ENwdFSarXqYLw
   2017-05-09 10:09 - 2015-11-11 09:21 - 00000000 ____D C:\ProgramData\TEeCzalTl
   2017-05-09 10:09 - 2015-11-11 09:21 - 00000000 ____D C:\ProgramData\ENwdFSarXqYLw
   2013-12-19 14:30 - 2014-03-14 08:31 - 0000072 _____ () C:\Users\Админ\AppData\Roaming\random72.bin
   2017-04-28 03:54 - 2017-04-28 03:54 - 0000923 _____ () C:\ProgramData\#_HOW_TO_FIX.inf
   2013-06-03 19:15 - 2013-06-03 19:15 - 0056080 _____ (Microsoft Corporation) C:\Users\Бухгалтер\AppData\Local\Temp\CABINET.DLL
   2013-06-03 19:27 - 2010-02-15 18:52 - 0435200 _____ (ГК "АТОЛ") C:\Users\Бухгалтер\AppData\Local\Temp\UnInstall.exe
   2013-06-03 19:13 - 2013-06-03 18:59 - 1321984 _____ (Setuper) C:\Users\Бухгалтер\AppData\Local\Temp\UnInstallDTO6.exe
   2016-04-19 06:49 - 2016-03-23 16:57 - 0186640 _____ (AVG Technologies CZ, s.r.o.) C:\Users\Главбух\AppData\Local\Temp\avguirn_081298079136.exe
   2016-01-05 19:42 - 2015-11-12 16:54 - 0091048 _____ (AVG Technologies CZ, s.r.o.) C:\Users\Главбух\AppData\Local\Temp\avguirn_081547097790.exe
   2016-01-16 07:04 - 2015-12-08 07:23 - 0091048 _____ (AVG Technologies CZ, s.r.o.) C:\Users\Главбух\AppData\Local\Temp\avguirn_081634363325.exe
   2016-07-28 10:24 - 2016-06-21 18:49 - 0186640 _____ (AVG Technologies CZ, s.r.o.) C:\Users\Главбух\AppData\Local\Temp\avguirn_081712808740.exe
   2016-06-23 15:59 - 2016-05-18 13:03 - 0186640 _____ (AVG Technologies CZ, s.r.o.) C:\Users\Главбух\AppData\Local\Temp\avguirn_085715853.exe
   2016-08-22 18:27 - 2016-07-20 14:01 - 0186640 _____ (AVG Technologies CZ, s.r.o.) C:\Users\Главбух\AppData\Local\Temp\avguirn_08725318660.exe
   2016-05-14 10:31 - 2016-04-14 17:29 - 0186640 _____ (AVG Technologies CZ, s.r.o.) C:\Users\Главбух\AppData\Local\Temp\avguirn_08916644220.exe
   2015-01-16 20:11 - 2015-01-16 20:11 - 0122368 _____ () C:\Users\Главбух\AppData\Local\Temp\unzdll.dll
   2015-01-16 20:11 - 2015-01-16 20:11 - 0123904 _____ () C:\Users\Главбух\AppData\Local\Temp\zipdll.dll
   Task: {26547667-5A47-4596-B9A2-C6DD7038B1D0} - \Browser Balance -> No File <==== ATTENTION
   Task: {BCAF357A-05AE-40F9-AFDF-F710B648C7BD} - \pcoductpro -> No File <==== ATTENTION

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен.
5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

[IUnknown]

готово

[mike 1]

Дешифратор https://download.bleepingcomputer.co...crypter-dev.7z

Settings -> Load Key

0r0TDqGlVKK55KZp8mhIaWznB

Благодарность отправлять этому https://www.bleepingcomputer.com/for.../demonslay335/ пользователю.

[IUnknown]

Огромное спасибо!!! Могу ли отправить благодарность на WMR185379664397 с пометкой для demonslay335?

[mike 1]

Огромное спасибо!!! Могу ли отправить благодарность на WMR185379664397 с пометкой для demonslay335?

Это не его реквизиты. Я уточню у него куда можно отправить денег на пиво

[IUnknown]

да, будьте добры

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\perflogs\system\microsoft\lsass.exe - UDS:DangerousObject.Multi.Generic ( BitDefender: Gen:Variant.MSILPerseus.2843 )