Вирус зашифровал файлы в *.xtbl [not-a-virus:AdWare.Win32.DealPly.brj, not-a-virus:AdWare.Win32.DealPly.alp ]

Printable View

13.03.2015, 16:02
Сергей Алекс

Вложений: 2

Вирус зашифровал файлы в *.xtbl [not-a-virus:AdWare.Win32.DealPly.brj, not-a-virus:AdWare.Win32.DealPly.alp ]

На ноутбуке зашифровались все файлы и на рабочем столе readme файлы с содержанием:
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
5A80F099AEB9E17D3552|0
на электронный адрес [EMAIL="[email protected]"][email protected][/EMAIL] или [EMAIL="[email protected]"][email protected][/EMAIL] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Попробовал следовать инструкциям на [url]http://pk-help.com/security/the-virus-encrypts-files[/url] (утилита RectorDecryptor на сайте касперского и ещё 2 похожих не сработали)
Отправил отчёт в тех поддержку Dr. Web, получил следующее:

[SPOILER]Здравствуйте.

Зашифровано одним из вариантов Trojan.Encoder.858

Никаких способов расшифровать такое на данный момент не известно.
Ведутся исследования.
Прогноз, к сожалению, плохой : никаких даже путей для разработки декриптора не видно.

Если мы когда-нибудь всё-же получим какую-либо практически полезную для расшифровки ваших файлов информацию, мы вам сообщим.

Общая рекомендация: обратитесь с заявлением в территориальное управление "К" МВД РФ;
по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.
Образцы заявлений, а также ссылка на госпортал ("Порядок приема сообщений о происшествии в органах внутренних дел РФ") есть на нашем сайте: [URL]http://legal.drweb.com/templates[/URL]

С уважением, Евгений Титов
служба технической поддержки компании "Доктор Веб".[/SPOILER]

Система 64 битная, но сказано нужно 3 лога. Выполнять 2 скрипт в AVZ?

Надеюсь на ваши светлые головы:)
13.03.2015, 16:03
Info_bot

Уважаемый(ая) [B]Сергей Алекс[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
13.03.2015, 18:08
thyrex

Если вирлабы бессильны, то и мы тем более.

Потому будет простая зачистка следов вирусов

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Сергей Александрович\appdata\roaming\update~1\update~1\update~1.exe','');
QuarantineFile('C:\Users\Сергей Александрович\applic~1\digitalsites\updateproc\updatetask.exe','');
QuarantineFile('C:\Users\Сергей Александрович\applic~1\update~1\update~1\update~1.exe','');
QuarantineFile('C:\Users\Сергей Александрович\appdata\roaming\updaterex\updateproc\updatetask.exe','');
QuarantineFile('C:\Users\Сергей Александрович\appdata\local\pricefountain\pricefountain.exe','');
QuarantineFile('C:\Users\Сергей Александрович\appdata\roaming\digitalsites\updateproc\updatetask.exe','');
QuarantineFile('C:\Users\6F02~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\6F02~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\Сергей Александрович\AppData\Local\SwvUpdater\Updater.exe','');
DelBHO('{b608cc98-54de-4775-96c9-097de398500c}');
QuarantineFile('C:\Users\Сергей Александрович\AppData\Local\PriceFountain\PriceFountainIE.dll','');
QuarantineFile('C:\Users\Сергей Александрович\AppData\Local\PriceFountain\pricefountainw.exe','');
QuarantineFile('C:\windows\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys','');
QuarantineFile('C:\windows\system32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}w64.sys','');
DeleteService('{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64');
DeleteService('{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}w64');
DeleteFile('C:\windows\system32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}w64.sys','32');
DeleteFile('C:\windows\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys','32');
DeleteFile('C:\Users\Сергей Александрович\AppData\Local\PriceFountain\pricefountainw.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pricefountainw.exe','command');
DeleteFile('C:\Users\Сергей Александрович\AppData\Local\PriceFountain\PriceFountainIE.dll','32');
DeleteFile('C:\Users\Сергей Александрович\AppData\Local\SwvUpdater\Updater.exe','32');
DeleteFile('C:\windows\Tasks\AmiUpdXp.job','64');
DeleteFile('C:\windows\Tasks\Digital Sites.job','64');
DeleteFile('C:\windows\Tasks\UpdaterEX.job','64');
DeleteFile('C:\windows\system32\Tasks\Digital Sites','64');
DeleteFile('C:\Users\6F02~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Users\6F02~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\windows\system32\Tasks\UpdaterEX','64');
DeleteFile('C:\Users\Сергей Александрович\appdata\roaming\digitalsites\updateproc\updatetask.exe','32');
DeleteFile('C:\Users\Сергей Александрович\appdata\local\pricefountain\pricefountain.exe','32');
DeleteFile('C:\Users\Сергей Александрович\appdata\roaming\updaterex\updateproc\updatetask.exe','32');
DeleteFile('C:\Users\Сергей Александрович\applic~1\update~1\update~1\update~1.exe','32');
DeleteFile('C:\Users\Сергей Александрович\applic~1\digitalsites\updateproc\updatetask.exe','32');
DeleteFile('C:\Users\Сергей Александрович\appdata\roaming\update~1\update~1\update~1.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\E6CE118D','command');
DeleteFile('C:\Users\Сергей Александрович\AppData\Roaming\E6CE118D\bin.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[B][COLOR="Blue"]Сделайте новые логи по правилам[/COLOR][/B]

Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
Сделайте лог [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]Check Browsers' LNK[/url]
14.03.2015, 06:32
Сергей Алекс

Вложений: 5

Скрипт в АВЗ выполнил, карантин прислал, все логи прилагаю.
Я могу быть уверен, что вирус не активен(создал пару вордовких документов больше суток - без изменений)?
Если снести систему, вирус и его следы сотрутся?
Благодарен за ответ
14.03.2015, 06:46
thyrex

[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]

Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1402568961&from=wpm0612&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC549863
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1402568961&from=wpm0612&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC549863&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1402568961&from=wpm0612&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC549863&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1402568961&from=wpm0612&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC549863
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1398390002&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC549863&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1398390002&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC549863&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1402568961&from=wpm0612&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC549863[/CODE]

Удалите вручную
[CODE] C:\Users\Сергей Александрович\AppData\Roaming\E6CE118D
C:\Users\Сергей Александрович\AppData\Roaming\DigitalSites
C:\Users\Сергей Александрович\AppData\Roaming\1H1Q1V1N1N1O1R[/CODE]
14.03.2015, 09:36
Сергей Алекс

Вложений: 1

Сделал
14.03.2015, 11:01
thyrex

Как вариант, [url]http://virusinfo.info/showthread.php?t=156188[/url]
14.03.2015, 12:20
Сергей Алекс

Скажите, можно ли с уверенностью сказать, что вирус не активен?
Если переустановить систему, всё будет нормально?
14.03.2015, 15:59
mike 1

[QUOTE]Скажите, можно ли с уверенностью сказать, что вирус не активен?[/QUOTE]
Вирус удален.

[QUOTE]Если переустановить систему, всё будет нормально?[/QUOTE]
Файлы останутся зашифрованным, если делать вам больше нечего, то можете переустановить.
14.03.2015, 16:09
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\сергей александрович\appdata\local\pricefountain\pricefountain.exe - [B]not-a-virus:AdWare.Win32.DealPly.bst[/B] ( AVAST4: Win32:Dropper-gen [Drp] )[*] c:\users\сергей александрович\appdata\roaming\digitalsites\updateproc\updatetask.exe - [B]not-a-virus:AdWare.Win32.DealPly.alp[/B][*] c:\users\сергей александрович\appdata\roaming\updaterex\updateproc\updatetask.exe - [B]not-a-virus:AdWare.Win32.DealPly.brj[/B] ( BitDefender: Trojan.GenericKDV.1261968 )[*] c:\users\сергей александрович\appdata\roaming\update~1\update~1\update~1.exe - [B]not-a-virus:AdWare.Win32.DealPly.brj[/B] ( BitDefender: Trojan.GenericKDV.1261968 )[*] c:\users\сергей александрович\applic~1\digitalsites\updateproc\updatetask.exe - [B]not-a-virus:AdWare.Win32.DealPly.alp[/B][*] c:\users\сергей александрович\applic~1\update~1\update~1\update~1.exe - [B]not-a-virus:AdWare.Win32.DealPly.brj[/B] ( BitDefender: Trojan.GenericKDV.1261968 )[*] c:\users\6f02~1\appdata\roaming\digita~1\update~1\update~1.exe - [B]not-a-virus:AdWare.Win32.DealPly.alp[/B][*] c:\users\6f02~1\appdata\roaming\update~1\update~1\update~1.exe - [B]not-a-virus:AdWare.Win32.DealPly.brj[/B] ( BitDefender: Trojan.GenericKDV.1261968 )[/LIST][/LIST]