Шифровальщик [not-a-virus:RemoteAdmin.Win32.Ammyy.hq, not-a-virus:AdWare.Win32.MMag.k ]

Printable View

07.10.2014, 19:37
fakirki

Шифровальщик [not-a-virus:RemoteAdmin.Win32.Ammyy.hq, not-a-virus:AdWare.Win32.MMag.k ]

Зашифрованы фотографии, документы, архивы методом шифрования AES 256, хотят чтобы им отправили деньги для расшифровки.

выкладываю файлы
[URL]http://www.fayloobmennik.net/4169494[/URL]
[URL]http://www.fayloobmennik.net/4169498[/URL]
07.10.2014, 19:38
Info_bot

Уважаемый(ая) [B]fakirki[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
07.10.2014, 20:22
fakirki

логи

[url]http://www.fayloobmennik.net/4169593[/url]

[url]http://www.fayloobmennik.net/4169595[/url]

[url]http://www.fayloobmennik.net/4169598[/url]
07.10.2014, 20:34
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Maestro\appdata\roaming\searchindexer\moduleinno.exe','');
QuarantineFile('C:\Users\Maestro\appdata\roaming\closer.exe','');
QuarantineFile('C:\Users\Maestro\AppData\Roaming\newSI_4396\s_inst.exe','');
DelBHO('{79E1CFFB-E2E0-436C-B82A-9902BBEA6391}');
QuarantineFile('C:\Program Files (x86)\WebBars\Basement\Extension32.dll','');
QuarantineFile('C:\Users\Maestro\AppData\Roaming\runWIN\Update.exe','');
QuarantineFile('C:\Users\Maestro\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','');
QuarantineFile('C:\Users\Maestro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
QuarantineFile('C:\Users\Maestro\AppData\Local\storegid\storegid.exe','');
QuarantineFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\apcrtldr.dll','');
QuarantineFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\apcrtldr.dll','');
QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll','');
QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll','');
SetServiceStart('storegidfilter', 4);
DeleteService('storegidfilter');
SetServiceStart('F06DEFF2-5B9C-490D-910F-35D3A9119622', 4);
DeleteService('F06DEFF2-5B9C-490D-910F-35D3A9119622');
DeleteService('CltMngSvc');
QuarantineFile('C:\PROGRA~2\SearchProtect\Main\bin\CltMngSvc.exe','');
QuarantineFile('C:\Program Files (x86)\Torrent Search\Basement\ExtensionUpdaterService.exe','');
QuarantineFile('C:\Program Files (x86)\WebBars\Basement\ExtensionUpdaterService.exe','');
QuarantineFile('C:\Windows\storegidfilter.sys','');
QuarantineFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\setmgrc1.cfg','');
TerminateProcessByName('C:\Users\Maestro\AppData\Roaming\Mail.RU NewGamesT\tiket.exe');
QuarantineFile('C:\Users\Maestro\AppData\Roaming\Mail.RU NewGamesT\tiket.exe','');
DeleteFile('C:\Users\Maestro\AppData\Roaming\Mail.RU NewGamesT\tiket.exe','32');
DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\setmgrc1.cfg','32');
DeleteFile('C:\Windows\storegidfilter.sys','32');
DeleteFile('C:\Program Files (x86)\WebBars\Basement\ExtensionUpdaterService.exe','32');
DeleteFile('C:\PROGRA~2\SearchProtect\Main\bin\CltMngSvc.exe','32');
DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll','32');
DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baiduAnTray','command');
DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');
DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\apcrtldr.dll','32');
DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\apcrtldr.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x86');
DeleteFile('C:\Program Files (x86)\baidu\BindEx.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baidu','command');
DeleteFile('C:\Users\Maestro\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\Users\Maestro\AppData\Local\storegid\storegid.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegid','command');
DeleteFile('C:\Users\Maestro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
DeleteFile('C:\Users\Maestro\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Encrypt','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TorrentStat','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RuningWIN32','command');
DeleteFile('C:\Users\Maestro\AppData\Roaming\runWIN\Update.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LoaderSystemWIN','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NewLoadSystemWIN32','command');
DeleteFile('C:\Program Files (x86)\WebBars\Basement\Extension32.dll','32');
DeleteFile('C:\Users\Maestro\AppData\Roaming\newSI_4396\s_inst.exe','32');
DeleteFile('C:\Windows\Tasks\newSI_4396.job','64');
DeleteFile('C:\Windows\system32\Tasks\newSI_4396','64');
DeleteFile('C:\Users\Maestro\appdata\roaming\closer.exe','32');
DeleteFile('C:\Users\Maestro\appdata\roaming\searchindexer\moduleinno.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('BDSGRTP');
BC_DeleteSvc('bd0001');
BC_DeleteSvc('bd0004');
BC_DeleteSvc('BDArKit');
BC_DeleteSvc('BDSafeBrowser');
BC_DeleteFile('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.443\baiduprotect.exe');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDKitUtils.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\ad.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\7z.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDMNet.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\DriverManager.dll');
BC_DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Обновите базы AVZ

Сделайте новые логи и прикрепляйте их на форуме

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
Сделайте [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]такой лог[/url]
08.10.2014, 00:11
thyrex

[quote="thyrex;1168608"]Сделайте новые логи и прикрепляйте их на форуме[/quote]Кнопка Расширенный режим и значок скрепки
08.10.2014, 11:24
fakirki

Вложений: 5

логи

система win7 x64

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Файл сохранён как 141008_072401_virusinfo_autoquarantine_5434e69127844.zip
Размер файла 524809
MD5 1beccc7b963e6803b8ea58dce9cf6d5f
08.10.2014, 14:04
thyrex

Поместите в карантин МВАМ всё найденное

Пересоздайте ярлыки
[QUOTE]C:\Users\Maestro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\649e8f896bb22c10\Yandex.lnk
C:\Users\Maestro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Yandex (2).lnk
C:\Users\Maestro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Maestro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk
C:\Users\Maestro\Desktop\МИХАИЛ\Yandex (2).lnk [/QUOTE]

Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b7ec3134f04bf704d72350611985bf13&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b7ec3134f04bf704d72350611985bf13&text={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.apeha.ru
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
[/CODE]

Удалите файлы
[QUOTE]C:\Windows\system32\drivers\BDArKit.sys
C:\Windows\system32\drivers\bd0001.sys
C:\Windows\system32\bd64_x86.dll
C:\Windows\system32\bd64_x64.dll
C:\Windows\system32\drivers\BDSafeBrowser.sys
C:\Windows\system32\drivers\bd0004.sys
C:\Program Files (x86)\Uninstall.bat
C:\Users\Maestro\AppData\Roaming\Uninstall.bat
C:\ProgramData\help.bat
C:\launcher.bat
C:\firefox.bat
C:\JadeEmpireLauncher.bat
C:\sllauncher.bat
C:\Program Files (x86)\Uplay.bat
C:\Users\Maestro\AppData\Roaming\Minecraft Launcher.bat[/QUOTE]

и папки
[QUOTE]C:\Users\Maestro\AppData\Roaming\Mail.RU NewGamesT
C:\Users\Maestro\AppData\Roaming\Microsoft DB
C:\Users\Maestro\AppData\Roaming\GemWare
C:\Users\Maestro\AppData\Roaming\ICL
C:\Program Files (x86)\ШоппингГид
C:\Users\Maestro\AppData\Roaming\newSI_9
C:\Users\Maestro\AppData\Roaming\newSI_10
C:\Users\Maestro\AppData\Roaming\Baidu
C:\ProgramData\Baidu
C:\Program Files (x86)\baidu
C:\Users\Maestro\AppData\Roaming\newSI_4396
C:\Users\Maestro\AppData\Roaming\DSite
C:\Users\Maestro\AppData\Roaming\DigitalSites
C:\Program Files (x86)\Movies Toolbar
[/QUOTE]
10.10.2014, 17:53
fakirki

сделал. сможете помочь с расшифровкой?
10.10.2014, 19:29
thyrex

[url]http://support.kaspersky.ru/viruses/disinfection/10556[/url] пробуйте
11.10.2014, 00:21
fakirki

Не помогло..
11.10.2014, 02:20
mike 1

Значит с расшифровкой не поможем.
17.10.2014, 20:11
thyrex

[url]http://support.kaspersky.ru/viruses/disinfection/10556[/url] пробуйте еще раз
17.10.2014, 20:21
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\maestro\appdata\roaming\microsoft\windows\start menu\programs\startup\aa_v3.exe - [B]not-a-virus:RemoteAdmin.Win32.Ammyy.hq[/B] ( DrWEB: Program.RemoteAdmin.745 )[*] c:\users\maestro\appdata\roaming\newsi_10\s_inst.exe - [B]not-a-virus:AdWare.Win32.MMag.k[/B] ( DrWEB: Adware.Plugin.248, BitDefender: Adware.Generic.1036930 )[/LIST][/LIST]