Помогите, поймал вирус paycrypt@gmail

добавилось к расширению paycrypt@gmail и файлы екселя зашифровались
[ATTACH]484653[/ATTACH] [ATTACH]484654[/ATTACH] [ATTACH]484655[/ATTACH]

прошу помощи

Уважаемый(ая) [B]xak666[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]

+ Выполните скрипт в AVZ

[CODE]begin
ExecuteRepair(11);
ClearHostsFile;
RebootWindows(false);
end.[/CODE]

Если блокировку сайтов через host прописывали сами, то перед выполнением удалите строку
[CODE]ClearHostsFile;[/CODE]

+ КГБ кейлогер сами ставили?

+ - Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.

- лог МВАМ [url]http://rghost.ru/private/56903819/b486db7f900c9d644a642bee75e025e9[/url]
-скрипт выполнил
- блокировку сайтов через host прописывали сами
-"+ КГБ кейлогер сами ставили" - не совсем то, но я понял про что идет речь, тоже сами ставили
-процедуру провел [url]http://virusinfo.info/virusdetector/report.php?md5=3D30B7940506A96F78E708132324C3F6[/url]

[CODE]C:\del.cmd[/CODE]
думаю знаком вам?

[url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Удалите в MBAM [/url] только

[CODE]Registry Keys: 6
PUP.Optional.SoftwareUpdater, HKLM\SOFTWARE\CLASSES\CLSID\{67BD9EEB-AA06-4329-A940-D250019300C9}, , [680cc6d981fa1b1b27bc233b53afab55],
PUP.Optional.SoftwareUpdater, HKLM\SOFTWARE\CLASSES\TYPELIB\{A0EE0278-2986-4E5A-884E-A3BF0357E476}, , [680cc6d981fa1b1b27bc233b53afab55],
PUP.Optional.SoftwareUpdater, HKLM\SOFTWARE\CLASSES\INTERFACE\{9EDC0C90-2B5B-4512-953E-35767BAD5C67}, , [680cc6d981fa1b1b27bc233b53afab55],
PUP.Optional.SoftwareUpdater, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96}, , [680cc6d981fa1b1b27bc233b53afab55],
PUP.Optional.SoftwareUpdater, HKLM\SOFTWARE\CLASSES\Updater.AmiUpd.1, , [680cc6d981fa1b1b27bc233b53afab55],
PUP.Optional.SoftwareUpdater, HKLM\SOFTWARE\CLASSES\Updater.AmiUpd, , [680cc6d981fa1b1b27bc233b53afab55],
PUP.Optional.SoftwareUpdater.A, C:\Users\User\AppData\Local\SwvUpdater, , [6113bbe4bbc0191d7c7016a4e91928d8],

PUP.Optional.SoftwareUpdater, C:\Users\User\AppData\Local\SwvUpdater\Updater.exe, , [680cc6d981fa1b1b27bc233b53afab55],
PUP.Optional.Amonetize.A, C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\L5QMMIVF\desktopy[1].zip, , [e193504f0774ba7c73b9c15ff1102fd1],
PUP.Adware.Agent, C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RIGXAYDQ\s2setup_mruwtsdpy[1].exe, , [d99ba6f9bfbc2c0ab0ca5da9f70957a9],
PUP.Adware.Agent, C:\Users\User\AppData\Local\Temp\s2cache.tmp, , [76fe6a350c6fb185afcb5fa721df60a0],
PUP.Optional.Amonetize.A, C:\Users\User\AppData\Local\Temp\Updater.exe, , [1e563f60740733038535370258a839c7],
Malware.Packer.95, C:\Users\User_2\AppData\Local\Temp\23593328.exe, , [dc98108f413a082e60b56a8ad62ac838],
Trojan.Onlinegames, D:\$RECYCLE.BIN\S-1-5-21-2996519736-923770470-4206577878-1001\$R9AQIOC.exe, , [fa7a1986cdae77bfd237cd51cb37aa56],
Trojan.Onlinegames, D:\$RECYCLE.BIN\S-1-5-21-2996519736-923770470-4206577878-1001\$RRBNLLH.exe, , [a0d4f4ab502b71c558b10d11f40edc24],
PUP.Optional.SoftwareUpdater.A, C:\Users\User\AppData\Local\SwvUpdater\Updater.xml, , [6113bbe4bbc0191d7c7016a4e91928d8],
PUP.Optional.SoftwareUpdater.A, C:\Users\User\AppData\Local\SwvUpdater\status.cfg, , [6113bbe4bbc0191d7c7016a4e91928d8],
PUP.SoftwareUpdater.A, C:\Windows\System32\Tasks\AmiUpdXp, , [75ff9c0382f9a39303f9fec110f2e917],
PUP.Optional.MailRU.A, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\ts5o51f1.default\searchplugins\mailru.xml, , [88ec544b96e50b2bed9b21b32bd72ad6],
PUP.Software.Updater, C:\Windows\Tasks\AmiUpdXp.job, , [bdb7fea1f08b86b0ed9e3cae1fe3a858],
Heuristics.Reserved.Word.Exploit, C:\Users\User_2\AppData\Local\Temp\svchost.like, , [a9cb5c437efd9e986eb3dac8c53f2ad6], [/CODE]

просканируйте ещё раз и прикрепите свежий лог.

-знакомо, что то свое))

лог сделал [url]http://rghost.ru/private/56917022/5c06c930a6559a6c04f7c39f379c87a0[/url]

мне бы файлы расшифровать, лечить не обязательно, форматну все...

вот зашифрованный [url]http://rghost.ru/56917038[/url]

MBAM деинсталируйте.

Расшифровать, увы, не получится [url]http://virusinfo.info/showthread.php?t=162092[/url]

обидно(((

эти рекомендации всё равно выполните

Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]

если все таки появится возможность...

вирус, дешифратор и инструкция,KEY [url]http://rghost.ru/56957168[/url] пароль infected
Образцы [url]http://rghost.ru/56957176[/url]

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

файлы вируса с ТЕМПА [удалено]
после запуска (файлы не зашифровались еще), в момент (файлы не зашифровались еще) и по завершению шифра (файлы все зашифровались)

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

код дешифратора:

[spoiler]if not exist "%TEMP%\UNCRYPT.KEY" goto exit0
if exist "%TEMP%\paycrpt.bin" goto exit0
echo DCPT>"%TEMP%\paycrpt.bin"
attrib -s -h -r "%TEMP%\*.gpg"
del /f /q "%TEMP%\*.gpg"
del /f /q "%TEMP%\*.lock"
del /f /q "%TEMP%\*.cry"
del /f /q "%TEMP%\random_seed"
cd "%APPDATA%"
attrib -s -h -r "%APPDATA%\gnupg\*.*"
attrib -s -h -r "%APPDATA%\gnupg"
del /f /q "%APPDATA%\gnupg\*.*"
rmdir /s /q "%APPDATA%\gnupg"
cd "%TEMP%"
decrypt.exe --import "%TEMP%\UNCRYPT.KEY"
msg.exe Success! "Key FOUND! Close ALL applications and press OK. Hidden MODE! - Wait for REBOOT"
ping 127.0.0.1 -n 1
if exist B:\*.* for /r "B:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "B:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "B:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist C:\*.* for /r "C:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "C:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "C:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist D:\*.* for /r "D:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "D:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "D:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist E:\*.* for /r "E:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "E:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "E:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist F:\*.* for /r "F:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "F:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "F:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist G:\*.* for /r "G:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "G:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "G:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist H:\*.* for /r "H:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "H:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "H:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist I:\*.* for /r "I:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "I:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "I:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist J:\*.* for /r "J:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "J:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "J:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist K:\*.* for /r "K:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "K:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "K:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist L:\*.* for /r "L:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "L:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "L:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist M:\*.* for /r "M:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "M:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "M:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist N:\*.* for /r "N:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "N:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "N:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist O:\*.* for /r "O:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "O:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "O:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist P:\*.* for /r "P:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "P:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "P:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist Q:\*.* for /r "Q:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "Q:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "Q:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist R:\*.* for /r "R:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "R:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "R:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist S:\*.* for /r "S:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "S:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "S:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist T:\*.* for /r "T:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "T:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "T:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist U:\*.* for /r "U:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "U:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "U:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist V:\*.* for /r "V:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "V:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "V:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist W:\*.* for /r "W:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "W:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "W:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist X:\*.* for /r "X:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "X:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "X:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist Y:\*.* for /r "Y:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "Y:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "Y:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist Z:\*.* for /r "Z:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "Z:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "Z:%%~pi%%~ni.gpg">> paycrpt.bin)
RENAME paycrpt.bin dweb.cmd
ping 127.0.0.1 -n 1
call dweb.cmd
attrib -s -h -r "%TEMP%"
attrib -s -h -r "%TEMP%\*.*"
del /f /q "C:\DECODE.zip"
del /f /q "D:\DECODE.zip"
del /f /q "%USERPROFILE%\Desktop\DECODE.zip"
del /f /q "%APPDATA%\Desktop\DECODE.zip"
del /f /q "C:\PAYCRYPT_GMAIL_COM.txt"
del /f /q "D:\PAYCRYPT_GMAIL_COM.txt"
del /f /q "%USERPROFILE%\Рабочий стол\PAYCRYPT_GMAIL_COM.txt"
del /f /q "%USERPROFILE%\Desktop\PAYCRYPT_GMAIL_COM.txt"
del /f /q "%PUBLIC%\Desktop\PAYCRYPT_GMAIL_COM.txt"
del /f /q "%APPDATA%\Desktop\PAYCRYPT_GMAIL_COM.txt"
del /f /q "%TEMP%\PAYCRYPT_GMAIL_COM.txt"
cd "%APPDATA%"
attrib -s -h -r "%APPDATA%\gnupg\*.*"
attrib -s -h -r "%APPDATA%\gnupg"
del /f /q "%APPDATA%\gnupg\*.*"
rmdir /s /q "%APPDATA%\gnupg"
cd "%TEMP%"
shutdown -r -t 0
del /f /q "%TEMP%\dweb.cmd"
del /f /q "%TEMP%\*.*"
del /f /q "%TEMP%\uncrypt.cmd"
del /f /q %0
:exit0
del /f /q "%TEMP%\decrypt.exe"
del /f /q "%TEMP%\iconv.dll"
del /f /q "%TEMP%\msg.exe"
del /f /q %0[/spoiler]

В техподдержке DrWeb при наличии лицензии могут расшифровать некоторые варианты PayCrypt после публикации автором шифратора приватных ключей для дешифровки Private.key.