Вирус-шифровщик. Помогите!!! [not-a-virus:HEUR:Downloader.Win32.LMN.gen, not-a-virus:Downloader.Win32.AdLoad.onrc ]

Printable View

09.02.2015, 09:18
valcyrye

Вложений: 3

Вирус-шифровщик. Помогите!!! [not-a-virus:HEUR:Downloader.Win32.LMN.gen, not-a-virus:Downloader.Win32.AdLoad.onrc ]

Вирус filecoder. Мультимедиа и офисные файлы - теперь с расширением xtbl. Помогите, что делать?? Eset проверила, угрозы обнаружены, правда вылечить как не знаю (Eset Smart Security 8 ). Сделала сканы утилитами. Логи утилит прилагаю.
09.02.2015, 09:19
Info_bot

Уважаемый(ая) [B]valcyrye[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
09.02.2015, 18:35
thyrex

Выполните скрипт в AVZ
[code]procedure DeleteDirectoryF(N: String);
begin
DeleteFileMask(N, '*', true);
DeleteDirectory(N);
end;

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\user\appdata\roaming\funspace\shadow\funspace.update\funspace.update.process.exe','');
QuarantineFile('C:\Users\user\AppData\Roaming\Steam\Reversed\steam.exe','');
QuarantineFile('C:\Users\user\AppData\Local\Temp\F22B.tmp','');
QuarantineFile('C:\Users\user\AppData\Local\Temp\21B4.tmp','');
DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
DeleteFile('C:\Users\user\AppData\Local\Temp\21B4.tmp','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkUpdater');
DeleteFile('C:\Users\user\AppData\Local\Temp\F22B.tmp','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CrashReportSaver');
DeleteFile('C:\Users\user\AppData\Roaming\Steam\Reversed\steam.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Steam-S-1-8-22-9865GUI','64');
DeleteFile('C:\Users\user\appdata\roaming\funspace\shadow\funspace.update\funspace.update.process.exe','32');
DeleteDirectoryF('C:\Users\user\AppData\Roaming\Steam\Reversed');
DeleteDirectoryF('C:\Users\user\appdata\roaming\funspace');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dosearches.com/?utm_source=b&utm_medium=smt&utm_campaign=eXQ&utm_content=hp&from=smt&uid=MAXTORXSTM3500320AS_9QM2YWZLXXXX9QM2YWZL&ts=1381345776
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7adb58d0b0605faa532d9b33f4d0673e&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7adb58d0b0605faa532d9b33f4d0673e&text={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dosearches.com/?utm_source=b&utm_medium=smt&utm_campaign=eXQ&utm_content=hp&from=smt&uid=MAXTORXSTM3500320AS_9QM2YWZLXXXX9QM2YWZL&ts=1381345776
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7adb58d0b0605faa532d9b33f4d0673e&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7adb58d0b0605faa532d9b33f4d0673e&text=
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7adb58d0b0605faa532d9b33f4d0673e&text=
O20 - AppInit_DLLs: [/CODE]

Обновите базы AVZ

Сделайте новые логи
12.02.2015, 10:27
valcyrye

Вложений: 3

Вроде все выполнила
12.02.2015, 18:22
thyrex

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
13.02.2015, 22:32
valcyrye

Вложений: 1

Сделано.
14.02.2015, 10:50
thyrex

Поместите в карантин МВАМ только
[CODE]Registry Keys: 11
PUP.Optional.Delta.A, HKLM\SOFTWARE\CLASSES\APPID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}, , [888a94865a30171fff2a58e7b64df20e],
PUP.Optional.Delta.A, HKLM\SOFTWARE\WOW6432NODE\CLASSES\APPID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}, , [888a94865a30171fff2a58e7b64df20e],
PUP.Optional.Babylon.A, HKU\S-1-5-21-2835106462-2213368028-3569604927-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}, , [fc16e535d0ba96a05866f90c3bc8b749],
PUP.Optional.Qone8, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{33BB0A4E-99AF-4226-BDF6-49120163DE86}, , [080a4ad0c8c2c373c971e7112ed613ed],
PUP.Optional.DoSearches.A, HKLM\SOFTWARE\WOW6432NODE\dosearchesSoftware, , [51c125f555350b2bd3a0ec04ae56fa06],
Backdoor.Bifrose, HKLM\SOFTWARE\WOW6432NODE\System32, , [759d22f8404ad0664a7b4029fd0724dc],
PUP.Optional.Elex.A, HKLM\SOFTWARE\WOW6432NODE\GOOGLE\CHROME\EXTENSIONS\ifohbjbgfchkkfhphahclmkpgejiplfo, , [080a0317a9e171c53e38e10f758fc838],
PUP.Optional.Qone8, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{33BB0A4E-99AF-4226-BDF6-49120163DE86}, , [a46e9a8079110a2cbc7e53a5a65e5aa6],
PUP.Optional.MultiPlug, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{4820778D-AB0D-6D18-C316-52A6A0E1D507}, , [32e0b06abdcda98dd850eabc6b983bc5],
PUP.Optional.Softonic.A, HKU\S-1-5-21-2835106462-2213368028-3569604927-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\Softonic, , [8191100a2664092d3c848214778c36ca],
PUP.Optional.Qone8, HKU\S-1-5-21-2835106462-2213368028-3569604927-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{33BB0A4E-99AF-4226-BDF6-49120163DE86}, , [39d927f349416fc7b0895f99669e3ec2],

Registry Data: 1
PUP.Optional.DoSearches, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Default_Page_URL, http://www.dosearches.com/?utm_source=b&utm_medium=smt&utm_campaign=eXQ&utm_content=hp&from=smt&uid=MAXTORXSTM3500320AS_9QM2YWZLXXXX9QM2YWZL&ts=1381345776, Good: (www.google.com), Bad: (http://www.dosearches.com/?utm_source=b&utm_medium=smt&utm_campaign=eXQ&utm_content=hp&from=smt&uid=MAXTORXSTM3500320AS_9QM2YWZLXXXX9QM2YWZL&ts=1381345776),,[bb5733e729611e18c67ae6cc33d20cf4]

Folders: 6
PUP.Optional.BetterSmile.A, C:\Users\user\AppData\Roaming\smwdgt, , [908246d4cac062d421fda62f47bc50b0],
PUP.Optional.OpenCandy, C:\Users\user\AppData\Roaming\OpenCandy, , [28ea95856f1b8fa73e078ac96d965fa1],
PUP.Optional.OpenCandy, C:\Users\user\AppData\Roaming\OpenCandy\F8E219B990BE4B84ADC67C7C7BCC1E5C, , [28ea95856f1b8fa73e078ac96d965fa1],
PUP.Optional.Multiplug, C:\Program Files (x86)\YoutubeAdblocker, , [d14165b5a8e2fc3a1f2a9bbaa3602bd5],
PUP.Optional.YoutubeAdblocker.A, C:\ProgramData\YoutubeAdblocker, , [120020fa1e6c67cf1527401758ab33cd],
PUP.Optional.Booster.A, C:\ProgramData\GreenApp\SW_Booster, , [6fa3b2683d4def474550eb8ad92aa65a],

Files: 74
PUP.Optional.Installrex, D:\rab\logo-steampunk\Cadabra-Debilex Font Font.exe, , [e32f8991305aa98d01ca266ee12051af],
Password.Stealer, E:\System Volume Information\_restore{A8D74F38-52C9-41D2-9D01-B5D7AE727330}\RP54\A0018814.rbf, , [32e08f8b03875dd90e1af87639c9b34d],
PUP.Optional.Spigot, E:\torrents666\YouTube Video Downloader PRO 4.8.5 (20140910)\SetupYTD.exe, , [63af2bef0c7edb5b3bf2378b14ed7e82],
PUP.Optional.ContinueToSave.A, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_continuetosave.info_0.localstorage, , [977b74a626648ea846d0139a62a147b9],
PUP.Optional.ContinueToSave.A, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_continuetosave.info_0.localstorage-journal, , [0e045ebc09810d290016446910f37987],
PUP.Optional.NewTab.A, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx, , [f0224ccec2c8340241537360be45817f],
PUP.Optional.BetterSmile.A, C:\Users\user\AppData\Roaming\smwdgt\manifest.json, , [908246d4cac062d421fda62f47bc50b0],
PUP.Optional.BetterSmile.A, C:\Users\user\AppData\Roaming\smwdgt\128.png, , [908246d4cac062d421fda62f47bc50b0],
PUP.Optional.BetterSmile.A, C:\Users\user\AppData\Roaming\smwdgt\16.png, , [908246d4cac062d421fda62f47bc50b0],
PUP.Optional.BetterSmile.A, C:\Users\user\AppData\Roaming\smwdgt\48.png, , [908246d4cac062d421fda62f47bc50b0],
PUP.Optional.BetterSmile.A, C:\Users\user\AppData\Roaming\smwdgt\content.js, , [908246d4cac062d421fda62f47bc50b0],
PUP.Optional.BetterSmile.A, C:\Users\user\AppData\Roaming\smwdgt\cSzbNIDaVcbL.js, , [908246d4cac062d421fda62f47bc50b0],
PUP.Optional.BetterSmile.A, C:\Users\user\AppData\Roaming\smwdgt\dDMZfTDdJunzE.js, , [908246d4cac062d421fda62f47bc50b0],
PUP.Optional.BetterSmile.A, C:\Users\user\AppData\Roaming\smwdgt\JKlVrsLcyv.js, , [908246d4cac062d421fda62f47bc50b0],
PUP.Optional.BetterSmile.A, C:\Users\user\AppData\Roaming\smwdgt\LJYkkLpsArJFv.html, , [908246d4cac062d421fda62f47bc50b0],
PUP.Optional.DoSearches.A, C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\dosearches.xml, , [82901efc890159dd7bf7c42c4bb929d7],
PUP.Optional.OpenCandy, C:\Users\user\AppData\Roaming\OpenCandy\F8E219B990BE4B84ADC67C7C7BCC1E5C\hamsterfreeziparchiver.exe, , [28ea95856f1b8fa73e078ac96d965fa1],
PUP.Optional.Multiplug, C:\Program Files (x86)\YoutubeAdblocker\NnH.dat, , [d14165b5a8e2fc3a1f2a9bbaa3602bd5],
PUP.Optional.Multiplug, C:\Program Files (x86)\YoutubeAdblocker\NnH.tlb, , [d14165b5a8e2fc3a1f2a9bbaa3602bd5],
PUP.Optional.YoutubeAdblocker.A, C:\ProgramData\YoutubeAdblocker\95D1sXxplT2IeKf-nTQ-sQ==.xtbl, , [120020fa1e6c67cf1527401758ab33cd], [/CODE]
14.02.2015, 13:22
valcyrye

Я извиняюсь, но я все найденные им файлы отправила в карантин (ламер, что поделаешь), а восстановить с карантина не могу - все файлы он пометил на удаление после перезагрузки. Что делать?? Помогите!!
14.02.2015, 14:54
thyrex

Ну тут уже из карантина не восстановить :)

С расшифровкой не поможем

[url]http://virusinfo.info/announcement.php?f=46&a=52[/url]
14.02.2015, 15:04
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]268[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\user\appdata\roaming\funspace\shadow\funspace.update\funspace.update.process.exe - [B]not-a-virus:HEUR:Downloader.Win32.LMN.gen[/B][*] c:\users\user\appdata\roaming\zona\plugins\zupdater\zonaupdater.exe.bak - [B]not-a-virus:Downloader.Win32.AdLoad.onrc[/B][/LIST][/LIST]