Закодированы все файлы, SOS на [email protected]

Printable View

10.01.2014, 16:05
resident_63

Вложений: 3

Закодированы все файлы, SOS на [email protected]

Супруга словила трояна на служебный ноут. Результат-переименованы и закодированы все файлы, самое страшное-база 1С. Все файлы имеют расширение *[email protected]_244. Сначала был скачан, обновлен и запущен на зараженной машине avz4 со следующим скриптом:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\system32\machineupper32.exe','');
DeleteFile('C:\WINDOWS\system32\machineupper32.exe','32');
DeleteFile('C:\Documents and Settings\All Users\Application Data\NTFS\ntdsk.dll','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Результата никакого, ноут продолжал заражать файлы на внешнем usb-драйве (приходилось запускать с него avz4).
Затем Kaspersky Resque Disk 10 обнаружил и уничтожил трояна Trojan.Win32.Bublik.kzl (10.01.14 1:49 Обнаружено троянская программа Trojan.Win32.Bublik.kzl C:/Documents and Settings/user/Application Data/Fujwjb.exe Высокая) (наверное, зря). Файл ps.ce сейчас не находится. После загрузки системы происходит попытка установки некоего Document Viewer, программа установки ищет внешний 'Document viewer' disk.
Есть возможность дешифровать файлы? Нужно вернуть хотя бы только базу 1с8.
10.01.2014, 16:07
Info_bot

Уважаемый(ая) [B]resident_63[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
10.01.2014, 19:29
thyrex

Выполните скрипт в AVZ
[code] begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\~tmp5962286423536266666.tmp','');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\~tmp5962286423536266666.tmp','32');
DeleteFile('C:\WINDOWS\Tasks\zdf0mbe77.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
11.01.2014, 13:41
resident_63

Вложений: 3

Карантин выслал. Ещё раз логи avz и HijackThis.
11.01.2014, 18:56
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
12.01.2014, 10:10
resident_63

Вложений: 1

Машина постоянно зависала после запуска Malwarebytes Antimalware, вот лог. Ещё один момент-когда запускал с USB драйва avz4, на нём была папка с фотографиями, о которых тогда забыл. Сейчас вижу, что часть файлов в ней (jpeg) осталась незакодированной, большая часть зашифрована. Сделаны они были в одно время одним фотоаппаратом. Выложить оба (закодированный и неизменённый)?
12.01.2014, 11:59
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\MBAR1W1T\312[1].html', 'MBAM: Trojan.FileLock');
QuarantineFile('C:\System Volume Information\_restore{693EDD83-9CE7-4FE7-8359-2FA9B8AEEB07}\RP890\A0391920.exe', 'MBAM: Trojan.FileLock');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные ниже записи[/b] [code]Обнаруженные ключи в реестре: 7
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (PUP.Optional.FunWebProducts.A) -> Действие не было предпринято.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Действие не было предпринято.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Действие не было предпринято.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Действие не было предпринято.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Действие не было предпринято.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> Действие не было предпринято.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network|UID (Malware.Trace) -> Параметры: YOUR-E4ACB65A33_000105A8 -> Действие не было предпринято.

Обнаруженные папки: 2
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\lowsec (Stolen.data) -> Действие не было предпринято.

Обнаруженные файлы: 21
C:\AdwCleaner\Quarantine\C\Program Files\DealPly\DealPlyIE.dll.vir (PUP.DealPly) -> Действие не было предпринято.
C:\AdwCleaner\Quarantine\C\Program Files\DealPly\DealPlyUpdate.exe.vir (PUP.Optional.Dealply) -> Действие не было предпринято.
C:\AdwCleaner\Quarantine\C\Program Files\DealPly\DealPlyUpdateRun.exe.vir (PUP.Optional.Dealply) -> Действие не было предпринято.
C:\Documents and Settings\user\Local Settings\Temp\is40051056\dp.exe (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\MBAR1W1T\312[1].html (Trojan.FileLock) -> Действие не было предпринято.
C:\System Volume Information\_restore{693EDD83-9CE7-4FE7-8359-2FA9B8AEEB07}\RP890\A0391920.exe (Trojan.FileLock) -> Действие не было предпринято.
C:\System Volume Information\_restore{693EDD83-9CE7-4FE7-8359-2FA9B8AEEB07}\RP892\A0393002.dll (PUP.DealPly) -> Действие не было предпринято.
C:\System Volume Information\_restore{693EDD83-9CE7-4FE7-8359-2FA9B8AEEB07}\RP892\A0393004.exe (PUP.Optional.Dealply) -> Действие не было предпринято.
C:\System Volume Information\_restore{693EDD83-9CE7-4FE7-8359-2FA9B8AEEB07}\RP892\A0393005.exe (PUP.Optional.Dealply) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Действие не было предпринято.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Действие не было предпринято.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Действие не было предпринято.[/code]
12.01.2014, 12:54
resident_63

Что делать в первую очередь-запускать скрипт в avz или удалять в МВАМ записи? Как понимаю, сейчас происходит очистка компьютера от последствий трояна, дешифровать скорее всего не получится?
12.01.2014, 13:01
thyrex

Инструкции выполняются в порядке их следования в рекомендации

[quote="resident_63;1079270"]дешифровать скорее всего не получится?[/quote]Без оригинального дешифратора никак
12.01.2014, 15:44
resident_63

Карантин загрузил. Запустил МВАМ сканер опять, чтоб удалить указанные выше записи (т.к. сначала пришлось выполнить скрипт в avz). Компьютер сам не перезагрузился, вручную ребутнул.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

После всех вышеназванных действий после перезагрузки имеем такую же обоину с требованием выкупа sos на [email protected] и процесс поиска AiOSoftwareNPI.msi, а затем Documentviewer.msi....
12.01.2014, 19:18
mike 1

Записи указанные в MBAM удалили? Если удалили тогда прикрепите новый отчет MBAM.
12.01.2014, 21:52
thyrex

[quote="resident_63;1079282"]После всех вышеназванных действий после перезагрузки имеем такую же обоину с требованием выкупа sos на [email][email protected][/email][/quote]
Пофиксите в HiJack
[CODE]O4 - Startup: pic.bmp[/CODE]
13.01.2014, 09:32
resident_63

Вложений: 1

mbam
14.01.2014, 11:33
resident_63

Как понял, на это лечение закончено?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Как понял, на этом лечение закончено?
14.01.2014, 22:32
thyrex

Следы вирусов Вам зачистили

Остальное, увы, пока не подвластно решению
14.01.2014, 22:42
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]