Твои файлы зашифрованы, если хочешь все вернуть отправь ... на [email protected] [not-a-virus:RiskTool.Win32.NetFilter.q, Trojan-Dropper.Win32.Agent.bjpecr ]

Доброго времени, принесли частично заблокированный комп с зашифрованными офисными и медиа файлами (пример в прикрепленном архиве).

Уважаемый(ая) [B]HVV83[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\All Users\Application Data\ShopperPro\spbihe.js','');
QuarantineFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll','');
QuarantineFile('C:\Program Files\ShopperPro\ShopperPro.exe','');
QuarantineFile('C:\Program Files\ShopperPro\Updater.exe','');
QuarantineFile('C:\Documents and Settings\Виктор\Application Data\newSI_4396\s_inst.exe','');
DelBHO('{FF103732-4528-4322-AA8B-F7849AB7776B}');
QuarantineFile('C:\Program Files\7Go Games\ScriptHost.dll','');
DelBHO('{A66261FC-B82E-4EC7-9F6D-C2F36B871DF0}');
DelBHO('{aa2fac44-d24d-4fed-9e32-397d138365f1}');
DelBHO('{b4efb02b-cd4a-44b9-b5d9-aa486cdffab6}');
QuarantineFile('C:\Documents and Settings\Виктор\Local Settings\Application Data\Radio_W\prxtbRad2.dll','');
QuarantineFile('C:\Program Files\Cyti Web\CytiWebbho.dll','');
QuarantineFile('C:\Program Files\Speed Analysis 3\ScriptHost.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\ShopperPro\ShopperPro.dll','');
DelBHO('{A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C}');
DelBHO('{11C8C9C0-D918-44C0-8B5E-D297DA42F2C7}');
DelBHO('{2977C29A-6723-4436-90BB-F7C5FDEF88A1}');
QuarantineFile('C:\Program Files\Free Games (4357)\ScriptHost.dll','');
QuarantineFile('C:\Program Files\Speed Test (4354)\ScriptHost.dll','');
QuarantineFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\Amx.exe','');
QuarantineFile('C:\Program Files\explore.exe','');
QuarantineFile('C:\Program Files\YTDownloader\YTDownloader.exe','');
QuarantineFile('C:\Program Files\Common Files\ShopperPro\spbiw.sys','');
DeleteService('SPBIUpdd');
SetServiceStart('{06b43f25-e282-4a26-a8ba-987e86000cdf}Gt', 4);
SetServiceStart('{14d0f170-74e0-4cbf-843b-3db832216c50}Gt', 4);
SetServiceStart('{72046701-0cbb-49f5-bb97-c718dc285f35}Gt', 4);
SetServiceStart('{7b7db604-54eb-492b-a629-19e0f0c6ac57}Gt', 4);
SetServiceStart('{eacdcf9d-1414-4d83-9a1b-eda2e6df739c}Gt', 4);
DeleteService('{eacdcf9d-1414-4d83-9a1b-eda2e6df739c}Gt');
DeleteService('{7b7db604-54eb-492b-a629-19e0f0c6ac57}Gt');
DeleteService('{72046701-0cbb-49f5-bb97-c718dc285f35}Gt');
DeleteService('{14d0f170-74e0-4cbf-843b-3db832216c50}Gt');
DeleteService('{06b43f25-e282-4a26-a8ba-987e86000cdf}Gt');
QuarantineFile('C:\WINDOWS\system32\drivers\{f69f75dd-7e74-4885-b8d1-87b7e0b79ccb}Gt.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{eacdcf9d-1414-4d83-9a1b-eda2e6df739c}Gt.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{7b7db604-54eb-492b-a629-19e0f0c6ac57}Gt.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{72046701-0cbb-49f5-bb97-c718dc285f35}Gt.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{14d0f170-74e0-4cbf-843b-3db832216c50}Gt.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{06b43f25-e282-4a26-a8ba-987e86000cdf}Gt.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\{06b43f25-e282-4a26-a8ba-987e86000cdf}Gt.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{14d0f170-74e0-4cbf-843b-3db832216c50}Gt.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{72046701-0cbb-49f5-bb97-c718dc285f35}Gt.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{7b7db604-54eb-492b-a629-19e0f0c6ac57}Gt.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{eacdcf9d-1414-4d83-9a1b-eda2e6df739c}Gt.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{f69f75dd-7e74-4885-b8d1-87b7e0b79ccb}Gt.sys','32');
DeleteFile('C:\Program Files\Common Files\ShopperPro\spbiw.sys','32');
DeleteFile('C:\Program Files\YTDownloader\YTDownloader.exe','32');
DeleteFile('C:\Program Files\explore.exe','32');
DeleteFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\Amx.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','F5JMWNZTHI');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','YTDownloader');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RDReminder');
DeleteFile('C:\Program Files\Speed Test (4354)\ScriptHost.dll','32');
DeleteFile('C:\Program Files\Free Games (4357)\ScriptHost.dll','32');
DeleteFile('C:\Documents and Settings\All Users\Application Data\ShopperPro\ShopperPro.dll','32');
DeleteFile('C:\Program Files\Speed Analysis 3\ScriptHost.dll','32');
DeleteFile('C:\Program Files\Cyti Web\CytiWebbho.dll','32');
DeleteFile('C:\Documents and Settings\Виктор\Local Settings\Application Data\Radio_W\prxtbRad2.dll','32');
DeleteFile('C:\Program Files\7Go Games\ScriptHost.dll','32');
DeleteFile('C:\Documents and Settings\Виктор\Application Data\newSI_4396\s_inst.exe','32');
DeleteFile('C:\WINDOWS\Tasks\newSI_4396.job','32');
DeleteFile('C:\WINDOWS\Tasks\PC Performer_DEFAULT.job','32');
DeleteFile('C:\WINDOWS\Tasks\PC Performer_UPDATES.job','32');
DeleteFile('C:\WINDOWS\Tasks\ShopperPro.job','32');
DeleteFile('C:\WINDOWS\Tasks\ShopperProJSUpd.job','32');
DeleteFile('C:\Program Files\ShopperPro\Updater.exe','32');
DeleteFile('C:\Program Files\ShopperPro\ShopperPro.exe','32');
DeleteFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll','32');
DeleteFile('C:\WINDOWS\Tasks\SMupdate1.job','32');
DeleteFile('C:\WINDOWS\Tasks\SMupdate2.job','32');
DeleteFile('C:\WINDOWS\Tasks\SMupdate3.job','32');
DeleteFile('C:\WINDOWS\Tasks\SPBIW_UpdateTask_Time_3335393739333638372d3437415a556c2a3223346c41.job','32');
DeleteFile('C:\Documents and Settings\All Users\Application Data\ShopperPro\spbihe.js','32');
DeleteFile('C:\WINDOWS\Tasks\YTDownloader.job','32');
DeleteFile('C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.

[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]

[QUOTE]"Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи"[/QUOTE]
Файл "virusinfo_syscheck" система сайта не загружает, пишет что превышает предел на форуме.

Вот это в правилах[quote="HVV83;1329758"]стандартные скрипты №3, №2 и заново создать логи hijackthis.zip[/quote]

Исправлял свое предыдущее сообщение.

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]

В мануале по созданию лога МВАМ требуется Malwarebytes не Trial, у меня пока только такая. На всякий случай сканирую ею. Принципиально ли использовать платную версию?

В мануале никто не просит сканировать именно платной версией :)

[QUOTE=thyrex;1329815]В мануале никто не просит сканировать именно платной версией :)[/QUOTE]
Программа работает уже больше 3-х часов, а прогресса выполнения сканирования файловой системы практически ноль. Есть ли альтернатива ей?

Готово, ЛОГ прикрепил. Окно Malwarebytes не закрывал, предлагает лечить...

Удалите в МВАМ все, [B]кроме[/B]
[CODE]Adware.WhenU, C:\Documents and Settings\Виктор\Рабочий стол\setup все\DAEMON Tools 3.47[1], , [e9aa6318ed9e88ae8eed1f33a26231cf],
RiskWare.RAAmmyy, C:\Program Files\Autobat2\AA.exe, , [0e85710abdce78bec1e463b947ba8878], [/CODE]

[QUOTE=thyrex;1330182]Удалите в МВАМ все, [B]кроме[/B]
[CODE]Adware.WhenU, C:\Documents and Settings\Виктор\Рабочий стол\setup все\DAEMON Tools 3.47[1], , [e9aa6318ed9e88ae8eed1f33a26231cf],
RiskWare.RAAmmyy, C:\Program Files\Autobat2\AA.exe, , [0e85710abdce78bec1e463b947ba8878], [/CODE][/QUOTE]
Спасибо, удалил. С дешифровкой файлов можете помочь?

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, и его тоже прикрепите в следующем сообщении.

Прикрепил. Также могу предоставить пару файлов: до шифрования и после, с небольшим нюансом.

С расшифровкой не поможем


1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://isearch.omiga-plus.com/?type=hp&ts=1419613506&from=obw&uid=WDCXWD2000JB-00REA0_WD-WCANK363428234282
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419613506&from=obw&uid=WDCXWD2000JB-00REA0_WD-WCANK363428234282&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://isearch.omiga-plus.com/?type=hp&ts=1419613506&from=obw&uid=WDCXWD2000JB-00REA0_WD-WCANK363428234282
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419613506&from=obw&uid=WDCXWD2000JB-00REA0_WD-WCANK363428234282&q={searchTerms}
HKU\S-1-5-21-1757981266-1202660629-839522115-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419613506&from=obw&uid=WDCXWD2000JB-00REA0_WD-WCANK363428234282&q={searchTerms}
HKU\S-1-5-21-1757981266-1202660629-839522115-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://isearch.omiga-plus.com/?type=hp&ts=1419613506&from=obw&uid=WDCXWD2000JB-00REA0_WD-WCANK363428234282
HKU\S-1-5-21-1757981266-1202660629-839522115-1004\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419613506&from=obw&uid=WDCXWD2000JB-00REA0_WD-WCANK363428234282&q={searchTerms}
HKU\S-1-5-21-1757981266-1202660629-839522115-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.qip.ru/ie
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419613506&from=obw&uid=WDCXWD2000JB-00REA0_WD-WCANK363428234282&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419613506&from=obw&uid=WDCXWD2000JB-00REA0_WD-WCANK363428234282&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1757981266-1202660629-839522115-1004 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2127165
BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll => No File
Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll No File
Toolbar: HKU\S-1-5-21-1757981266-1202660629-839522115-1004 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-1757981266-1202660629-839522115-1004 -> Radio W Toolbar - {B4EFB02B-CD4A-44B9-B5D9-AA486CDFFAB6} - C:\Documents and Settings\Виктор\Local Settings\Application Data\Radio_W\prxtbRad2.dll No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://isearch.omiga-plus.com/?type=sc&ts=1419613506&from=obw&uid=WDCXWD2000JB-00REA0_WD-WCANK363428234282
FF Extension: No Name - C:\Documents and Settings\Виктор\Application Data\Mozilla\Firefox\Profiles\tfqekpgi.default\extensions\{eacdcf9d-1414-4d83-9a1b-eda2e6df739c}.xpi [not found]
FF Extension: No Name - C:\Documents and Settings\Виктор\Application Data\Mozilla\Firefox\Profiles\tfqekpgi.default\extensions\{746505DC-0E21-4667-97F8-72EA6BCF5EEF} [not found]
FF Extension: Cyti Web 1.0.1 - C:\Documents and Settings\Виктор\Application Data\Mozilla\Firefox\Profiles\tfqekpgi.default\Extensions\{eacdcf9d-1414-4d83-9a1b-eda2e6df739c}.xpi [2014-12-26] [not signed]
CHR Extension: (7Go) - C:\Documents and Settings\Виктор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gjajpkikblccgefaibcafkfbanllpefi [2014-02-22]
CHR Extension: (Speed Analysis 3) - C:\Documents and Settings\Виктор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\mbmpjbkgemhgalmeiigcdljkccfcafoj [2014-02-22]
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path\update_url>
S1 {f69f75dd-7e74-4885-b8d1-87b7e0b79ccb}Gt; system32\drivers\{f69f75dd-7e74-4885-b8d1-87b7e0b79ccb}Gt.sys [X]
2015-11-06 15:14 - 2015-11-06 15:14 - 0927422 _____ () C:\Program Files\desk.bmp
2015-11-06 15:14 - 2015-11-06 15:14 - 0149043 _____ () C:\Program Files\desk.jpg
2015-11-05 11:36 - 2015-11-06 15:14 - 0000081 _____ () C:\Program Files\WLTZVCHUNR.YJE
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]

Прикрепил.

Мусор почистили.

Больше помочь нечем.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]56[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\shopperpro\updater.exe - [B]Trojan-Dropper.Win32.Agent.bjpecr[/B] ( DrWEB: Adware.Plugin.209 )[*] c:\windows\system32\drivers\{eacdcf9d-1414-4d83-9a1b-eda2e6df739c}gt.sys - [B]not-a-virus:RiskTool.Win32.NetFilter.q[/B] ( DrWEB: Trojan.Yontoo.1741, BitDefender: Adware.NetFilter.J )[*] c:\windows\system32\drivers\{f69f75dd-7e74-4885-b8d1-87b7e0b79ccb}gt.sys - [B]not-a-virus:RiskTool.Win32.NetFilter.q[/B] ( DrWEB: Trojan.Yontoo.1741, BitDefender: Adware.NetFilter.J )[*] c:\windows\system32\drivers\{06b43f25-e282-4a26-a8ba-987e86000cdf}gt.sys - [B]not-a-virus:RiskTool.Win32.NetFilter.q[/B] ( DrWEB: Trojan.Yontoo.1741, BitDefender: Adware.NetFilter.J )[*] c:\windows\system32\drivers\{14d0f170-74e0-4cbf-843b-3db832216c50}gt.sys - [B]not-a-virus:RiskTool.Win32.NetFilter.q[/B] ( DrWEB: Trojan.Yontoo.1741, BitDefender: Adware.NetFilter.J )[*] c:\windows\system32\drivers\{7b7db604-54eb-492b-a629-19e0f0c6ac57}gt.sys - [B]not-a-virus:RiskTool.Win32.NetFilter.q[/B] ( DrWEB: Trojan.Yontoo.1741, BitDefender: Adware.NetFilter.J )[*] c:\windows\system32\drivers\{72046701-0cbb-49f5-bb97-c718dc285f35}gt.sys - [B]not-a-virus:RiskTool.Win32.NetFilter.q[/B] ( DrWEB: Trojan.Yontoo.1741, BitDefender: Adware.NetFilter.J )[/LIST][/LIST]