Ваши файлы были зашифрованы. [email protected] или [email protected] [HEUR:Trojan.Win32.Generic, Trojan.Win32.Diple.ginl ]

Printable View

06.11.2015, 15:11
Valery Sharlay

Вложений: 3

Ваши файлы были зашифрованы. [email protected] или [email protected] [HEUR:Trojan.Win32.Generic, Trojan.Win32.Diple.ginl ]

[I][B]Доброго времени суток! [/B][/I]
[B]Н[/B]ужна помощь профессионалов в лечении компьютера от вредоносного ПО, и в расшифровке файлов.

[B]С[/B]истема Windows 7 x86 Ultimate SP1. Компьютер - участник домена на предприятии.

[B]К[/B]омпьютер был заражен из-под учетки пользователя домена при открытии прикрепленного файла [B].scr[/B] из электронного письма.
Само письмо сохранено на случай необходимости передать болячку (первоисточник) на исследование.
Зашифрованы были все фотографии, музыка, видео и файлы MSOffice (.jpg, .mp3, .avi, .doc(x), .xls(x))
На рабочий стол установился фоновый рисунок с красным текстом на черном фоне с сообщением о шифровании файлов и отсылкой к README файлам следующего содержания. (данные файлы располагаются в корне каждого из локальных дисков и на Рабочем столе):

[QUOTE]Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
20849AAF4CC34B90AED9|0
на электронный адрес [EMAIL="[email protected]"][email protected][/EMAIL] или [EMAIL="[email protected]"][email protected][/EMAIL] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
20849AAF4CC34B90AED9|0
to e-mail address [EMAIL="[email protected]"][email protected][/EMAIL] or [EMAIL="[email protected]"][email protected][/EMAIL] .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
[/QUOTE]

[B]З.Ы.[/B] Если нужно, могу прислать зараженный файл-первоисточник, зашифрованные файлы.
[B]З.З.Ы[/B]. Выдержка из логфайла CureIT:
[QUOTE]-----------------------------------------------------------------------------
Start scanning
-----------------------------------------------------------------------------
Command line used:-rpcep:\pipe\176D7478E -rpcpr:np

Limit the use of the computer resources to 100%
Instances used for this session: 6
Object(s) to scan:
- D:\-=Distr=-\_111111111\_Quarantine

D:\-=Distr=-\_111111111\_Quarantine\031115scan.scr - infected with Trojan.Inject2.8204
>D:\-=Distr=-\_111111111\_Quarantine\9221249docs.gz is GZIP archive
D:\-=Distr=-\_111111111\_Quarantine\9221249docs.gz - Ok
D:\-=Distr=-\_111111111\_Quarantine\9221249docs.gz - archive
D:\-=Distr=-\_111111111\_Quarantine\9221249docs.gz: Zone.Identifier - Ok
D:\-=Distr=-\_111111111\_Quarantine\031115scan.scr - infected

Total 1760954 bytes in 3 files scanned
Total 2 files are clean
Total 1 file are infected
Scan time is 00:00:00.133
[/QUOTE]
06.11.2015, 15:12
Info_bot

Уважаемый(ая) [B]Valery Sharlay[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
06.11.2015, 20:50
mike 1

[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].

Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]

begin
QuarantineFile('C:\Program Files\72c66e52\jusched.exe','');
QuarantineFile('C:\Users\Julia.Glazunova\AppData\Local\Anwworks\xddkiswx.dll','');
QuarantineFile('C:\Users\Julia.Glazunova\AppData\Local\YcPack\wllfydpg.dll','');
QuarantineFile('C:\Users\Julia.Glazunova\AppData\Local\Anwworks\9043B71C.exe','');
QuarantineFile('C:\Users\Julia.Glazunova\AppData\Roaming\Eiqkqo.exe','');
TerminateProcessByName('c:\users\julia.glazunova\appdata\local\anwworks\9043b71c.exe');
QuarantineFile('c:\users\julia.glazunova\appdata\local\anwworks\9043b71c.exe','');
DeleteFile('c:\users\julia.glazunova\appdata\local\anwworks\9043b71c.exe','32');
DeleteFile('C:\Users\Julia.Glazunova\AppData\Roaming\Eiqkqo.exe','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-301677886-3595434707-3598675400-1176\Software\Microsoft\Windows\CurrentVersion\Run','Eiqkqo');
RegKeyParamDel('HKEY_USERS','S-1-5-21-301677886-3595434707-3598675400-1176\Software\Microsoft\Windows\CurrentVersion\Run','Anwworks');
DeleteFile('C:\Users\Julia.Glazunova\AppData\Local\Anwworks\9043B71C.exe','32');
DeleteFile('C:\Users\Julia.Glazunova\AppData\Local\YcPack\wllfydpg.dll','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-301677886-3595434707-3598675400-1176\Software\Microsoft\Windows\CurrentVersion\Run','YcPack');
RegKeyParamDel('HKEY_USERS','S-1-5-21-301677886-3595434707-3598675400-1176\Software\Microsoft\Windows\CurrentVersion\Run','AWworks');
DeleteFile('C:\Users\Julia.Glazunova\AppData\Local\Anwworks\xddkiswx.dll','32');
DeleteFile('C:\Program Files\72c66e52\jusched.exe','32');
DeleteFile('C:\Windows\Tasks\Update23.job','32');
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
07.11.2015, 01:37
Valery Sharlay

Вложений: 2

[QUOTE=mike 1;1329420]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы[/QUOTE]

Отправил

[QUOTE=mike 1;1329420]
Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR=Blue]virusinfo_syscheck.zip;hijackthis.log[/COLOR])[/QUOTE]

Сделал, прикрепил.
07.11.2015, 02:07
mike 1

Все пароли меняйте. Все ваши пароли уже у злоумышленника.

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]
07.11.2015, 12:08
Valery Sharlay

Вложений: 2

выполнил
08.11.2015, 19:09
mike 1

[B][COLOR="#FF0000"]ВНИМАНИЕ![/COLOR][/B] Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-301677886-3595434707-3598675400-1176\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Users\Julia.Glazunova\AppData\Local\Anwworks\xddkiswx.dllATTENTION! ====> ZeroAccess?
S1 crriplwl; \??\C:\Windows\system32\drivers\crriplwl.sys [X]
S1 dvgnonda; \??\C:\Windows\system32\drivers\dvgnonda.sys [X]
S1 pczsycbb; \??\C:\Windows\system32\drivers\pczsycbb.sys [X]
S1 qcrvxeau; \??\C:\Windows\system32\drivers\qcrvxeau.sys [X]
2015-11-04 16:16 - 2015-11-04 16:16 - 03148854 _____ C:\Users\Julia.Glazunova\AppData\Roaming\0500BCE20500BCE2.bmp
2015-11-04 14:24 - 2015-11-05 15:04 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-11-04 14:24 - 2015-11-05 15:04 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\admin.LKZ\AppData\Local\Temp\install_flashplayer12x32_mssa_aaa_aih.exe
C:\Users\admin.LKZ\AppData\Local\Temp\install_flashplayer12x32_mssa_aaa_aih_2.exe
C:\Users\admin.LKZ\AppData\Local\Temp\install_flashplayer12x32_mssd_aaa_aih.exe
C:\Users\Julia.Glazunova\AppData\Local\Temp\9043B71C.exe
C:\Users\Julia.Glazunova\AppData\Local\Temp\fp_pl_pfs_installer-1.exe
C:\Users\Julia.Glazunova\AppData\Local\Temp\fp_pl_pfs_installer-2.exe
C:\Users\Julia.Glazunova\AppData\Local\Temp\fp_pl_pfs_installer-3.exe
C:\Users\Julia.Glazunova\AppData\Local\Temp\fp_pl_pfs_installer.exe
C:\Users\Julia.Glazunova\AppData\Local\Temp\install_flashplayer11x32_mssa_aaa_aih.exe
C:\Users\Julia.Glazunova\AppData\Local\Temp\install_flashplayer11x32_mssa_aaa_aih_1.exe
C:\Users\Julia.Glazunova\AppData\Local\Temp\install_flashplayer12x32_mssa_aaa_aih.exe
C:\Users\Julia.Glazunova\AppData\Local\Temp\install_flashplayer12x32_mssa_aaa_aih_1.exe
C:\Users\Julia.Glazunova\AppData\Local\Temp\install_flashplayer12x32_mssa_aaa_aih_2.exe
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
08.11.2015, 20:13
Valery Sharlay

Вложений: 1

выполнил
09.11.2015, 01:13
mike 1

По расшифровке:

Пишите в техподдержку Лаборатории Касперского при наличии действующей коммерческой лицензии на любой из продуктов Лаборатории Касперского.
09.11.2015, 08:17
Valery Sharlay

[QUOTE=mike 1;1329985]По расшифровке:

Пишите в техподдержку Лаборатории Касперского при наличии действующей коммерческой лицензии на любой из продуктов Лаборатории Касперского.[/QUOTE]

Что делать, если таковой нет? Есть лицензия Dr.Web.

Огромадное человеческое спасибо за помощь. :)
09.11.2015, 22:42
mike 1

Ну пробуйте писать в DrWeb может и помогут.
09.11.2015, 22:52
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\julia.glazunova\appdata\local\anwworks\xddkiswx.dll - [B]HEUR:Trojan.Win32.Generic[/B] ( BitDefender: Gen:Variant.Symmi.38296, AVAST4: Win32:Malware-gen )[*] c:\users\julia.glazunova\appdata\local\anwworks\9043b71c.exe - [B]Trojan.Win32.Diple.ginl[/B] ( AVAST4: Win32:Dropper-gen [Drp] )[*] c:\users\julia.glazunova\appdata\local\ycpack\wllfydpg.dll - [B]HEUR:Trojan.Win32.Generic[/B][/LIST][/LIST]