зашифрованы файлы doc, xls, dbf, [email][email protected][/email]_lot5021 - расширение шифрованных файловТак же проверялась с помощью Rector Decryptor: This is Trojan-Ransom.Win32.Rector, but key not found
Printable View
зашифрованы файлы doc, xls, dbf, [email][email protected][/email]_lot5021 - расширение шифрованных файловТак же проверялась с помощью Rector Decryptor: This is Trojan-Ransom.Win32.Rector, but key not found
Уважаемый(ая) [B]Chokod[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
TerminateProcessByName('c:\windows\debug\008586dc.exe');
QuarantineFile('c:\windows\debug\008586dc.exe','');
DeleteFile('C:\Windows\debug\008586dc.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NVUpdater');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Полученный архив [b]quarantine.zip[/b] из папки с распакованной утилитой AVZ отправьте согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[LIST=1][*]Загрузите GMER по одной из указанных ссылок:
[B][URL="http://www.gmer.net/download.php"]Gmer со случайным именем[/URL][/B] [I](рекомендуется)[/I], [B][URL="http://www.gmer.net/gmer.zip"]Gmer в zip-архиве[/URL][/B] [I](перед применением распаковать в отдельную папку)[/I][*][B]Временно[/B] отключите драйверы эмуляторов дисков.[*]Запустите программу (пользователям [I]Vista/Seven[/I] запускать от имени [B]Администратора[/B] по правой кнопке мыши).[*]Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите [B]No[/B].[*]После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
[LIST][*][B][COLOR="Blue"]Sections[/COLOR][/B][*][B][COLOR="Blue"]IAT/EAT[/COLOR][/B][*][B][COLOR="Blue"]Show all[/COLOR][/B][/LIST][*]Из всех дисков оставьте отмеченным только системный диск (обычно [B]C:\[/B])[*]Нажмите на кнопку [B]Scan[/B] и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите [B]OK[/B].[*]После окончания проверки сохраните его лог (нажмите на кнопку [B]Save[/B]) и вложите в сообщение.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*][/LIST]
Лог GMER
Сохраните приведённый ниже текст в файл [b]cleanup.bat[/b] в ту же папку, где находится f7kn9h2z.exe случайное имя утилиты (gmer)
[CODE]
f7kn9h2z.exe -del service dvxwhvk
f7kn9h2z.exe -del file "C:\WINDOWS\system32\qturhxh.dll"
f7kn9h2z.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\dvxwhvk"
f7kn9h2z.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\dvxwhvk"
f7kn9h2z.exe -reboot
[/CODE]
И запустите сохранённый пакетный файл [b]cleanup.bat[/b].
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.
Новый лог
Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы, выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]
Лог MBAM
Вроде давал ссылку на MBAM 1.75. Тип сканирования в MBAM не то выбрали. Там нужно выбирать Custom Scan.
MBAM до этого уже был установлен, им и сканировал в первый раз.
Вот новый лог.
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:
[CODE]
begin
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WQY4MXOS\trz5.tmp','');
QuarantineFile('C:\Documents and Settings\user\bifihupibqaz.exe','');
QuarantineFile('C:\Documents and Settings\user\gexahawoxypo.exe','');
QuarantineFile('C:\WINDOWS\system32\trz6.tmp','');
QuarantineFile('D:\ПОЧТА\trz5.tmp','');
QuarantineFile('D:\ПОЧТА\trz6.tmp','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Remove Selected[/b]" ("[B]Удалить выделенные[/B]" - [B][COLOR="Red"]смотрите, что удаляете[/COLOR][/B]).
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]
[CODE]
Обнаруженные файлы: 15
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WQY4MXOS\trz5.tmp (Worm.Autorun) -> Действие не было предпринято.
C:\Documents and Settings\user\bifihupibqaz.exe (Trojan.Agent.US) -> Действие не было предпринято.
C:\Documents and Settings\user\gexahawoxypo.exe (Trojan.Agent.US) -> Действие не было предпринято.
C:\WINDOWS\system32\trz6.tmp (Worm.Autorun) -> Действие не было предпринято.
D:\ПОЧТА\trz5.tmp (Worm.AutoRun) -> Действие не было предпринято.
D:\ПОЧТА\trz6.tmp (Worm.AutoRun) -> Действие не было предпринято.
D:\ПОЧТА\trz7.tmp (Worm.AutoRun) -> Действие не было предпринято.
D:\ПОЧТА\trz8.tmp (Worm.AutoRun) -> Действие не было предпринято.
[/CODE]
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Новый лог
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
Лог combofix
Скопируйте текст ниже в Блокнот и [COLOR="#0000CD"]сохраните[/COLOR] как файл с названием [B]CFScript.txt[/B] [COLOR="#0000CD"][B]в корень диска С. [/B][/COLOR]
[code]
KillAll::
File::
c:\windows\system32\DLLA.tmp
Driver::
NetSvc::
pqxabcj
dvxwhvk
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8463:TCP"=-
FileLook::
DirLook::
Reboot::
[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[IMG]http://savepic.org/5315621m.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
новый лог ComboFix
Логи в порядке. Дешифратором для этой версии пока никто не поделился.
Ожидается ли появление дешифратора в обозримом будущем?
Как поступить с зараженным диском?
Можно ли отформатировать его, предварительно скопировав зашифрованные данные?
Он ещё понадобится для дальнейшего анализа?
1. Может и появится, а может и через год не появится.
2. Им можно дальше пользоваться вирус удален.
3. Можно. Только переустановка не поможет вернуть расшифрованные документы.
4. Деинсталлируйте ComboFix: нажмите [b]Пуск[/b] => [b]Выполнить[/b] в окне наберите команду [b]Combofix /Uninstall[/b], нажмите кнопку "[b]ОК[/b]"
[IMG]http://s16.radikal.ru/i191/1003/6c/671e520b7c2d.jpg[/IMG]
Скачайте [url="http://oldtimer.geekstogo.com/OTC.exe"]OTCleanIt[/url], запустите, нажмите [B]Clean up[/B]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]