вирус шифровщик [Trojan.Win32.Fsysna.clho ]

Printable View

03.12.2015, 11:54
wedmed

Вложений: 3

вирус шифровщик [Trojan.Win32.Fsysna.clho ]

пришло письмо от [URL="http://mail.qip.ru/search/Inbox;/?search=from%3A%202030_rus%40mail.ru"]Rus 2030 <[email protected]>[/URL]

с темой
[SIZE=3][B]<моё имя и фамилия>_Просрочен*ный счет, повышает риск н*ачисления процентов![/B]
[/SIZE]
тело письма:
[B][SIZE=3]Проверьте долг по договору №oy20941

[/SIZE][/B][SIZE=2]приложенный файл:
[SIZE=3][B]94771oplata.gz
[/B][SIZE=2]
внутри архива файл
[SIZE=3][B]301115scan.scr[/B][/SIZE][/SIZE][SIZE=2]
Не сообразил сразу и запустил этот файл. видимых изменений не произошло. Распаковал на диск и снова запустил и опять ничего не увидел. попытался удалить распакованый файл - не вышло. В почте обнаружил ещё одно подобное письмо, но с другого адреса и с другими цифрами. Нашёл и прибил запущеные процессы с этим вирусом, но большую часть офисных файлов вирус успел зашифровать. Теперь файлы выглядят как длинный набор букв и цифр с расширением breaking_bad. Был установлен KIS, но очень давно не обновлялся. Сейчас установлен AVG. Он определяет заразу как [/SIZE][/SIZE][/SIZE]Zbot.[SIZE=2][SIZE=3][SIZE=2]

[/SIZE][/SIZE]Логи avz4 и HijackThis[SIZE=3][SIZE=2] прилагаю. Подготовлен в облаке запароленый архив с источником заразы и файлами, исходным и зашифрованым.[/SIZE]

Прошу помощи в востановлении зашифрованных файлов.
[/SIZE][/SIZE]
03.12.2015, 11:56
Info_bot

Уважаемый(ая) [B]wedmed[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
03.12.2015, 23:49
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.

[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]
04.12.2015, 14:16
wedmed

Вложений: 3

новые логи
04.12.2015, 21:55
thyrex

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, и его тоже прикрепите в следующем сообщении.
04.12.2015, 23:25
wedmed

К сожалению нет доступа к пострадавшему компьютеру. Или проблема с RMS, или просто электричество отключили. Придётся отложить до понедельника.
07.12.2015, 08:31
wedmed

Вложений: 2

логи Farbar Recovery Scan Tool
08.12.2015, 06:16
thyrex

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKU\S-1-5-21-1308201689-4085701984-572099570-2217\...\MountPoints2: {049ebb0d-d551-11e1-93de-001d6040544e} - G:\bar/bar32.exe
HKU\S-1-5-21-1308201689-4085701984-572099570-2217\...\MountPoints2: {0e650c61-060c-11dd-982f-001d6040544e} - F:\DATA\SYSTEM\Xp.exe
HKU\S-1-5-21-1308201689-4085701984-572099570-2217\...\MountPoints2: {167c9d33-7a16-11df-925a-001d6040544e} - F:\zMCprx.ExE
HKU\S-1-5-21-1308201689-4085701984-572099570-2217\...\MountPoints2: {25b11bbb-d503-11de-995e-001d6040544e} - I:\RECYCLER\S-51-9-25-3434476501-1644491933-601013333-1214\LBTWi.exe
HKU\S-1-5-21-1308201689-4085701984-572099570-2217\...\MountPoints2: {3d36dfcd-e2fe-11dd-98e3-001d6040544e} - G:\lsass.exe
HKU\S-1-5-21-1308201689-4085701984-572099570-2217\...\MountPoints2: {4bd9c979-ffb5-11dc-9828-001d6040544e} - G:\PdtGuide.exe
HKU\S-1-5-21-1308201689-4085701984-572099570-2217\...\MountPoints2: {565e4790-cf70-11df-9279-001d6040544e} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-1308201689-4085701984-572099570-2217\...\MountPoints2: {6cfaac08-176a-11de-9912-001d6040544e} - H:\mvoyager.exe
HKU\S-1-5-21-1308201689-4085701984-572099570-2217\...\MountPoints2: {72b2f245-770e-11e1-93a6-001d6040544e} - penalty//sentjor.exe
HKU\S-1-5-21-1308201689-4085701984-572099570-2217\...\MountPoints2: {7c696639-563b-11de-9938-001d6040544e} - NEXT\FILES\NEXT.exe
HKU\S-1-5-21-1308201689-4085701984-572099570-2217\...\MountPoints2: {8b165392-c3bb-11de-995a-001d6040544e} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-1308201689-4085701984-572099570-2217\...\MountPoints2: {8c589b1a-ff3f-11de-9245-001d6040544e} - F:\DEEP\FREEZ\xob.exe
HKU\S-1-5-21-1308201689-4085701984-572099570-2217\...\MountPoints2: {8e5a0bcc-28f2-11de-9922-001d6040544e} - G:\RECYCLER\S-53-4-22-3434476501-1644491937-600003330-1213\DrsCh.exe
HKU\S-1-5-21-1308201689-4085701984-572099570-2217\...\MountPoints2: {bea01ed4-48e1-11de-9931-001d6040544e} - G:\RECYCLER\S-51-9-25-3434476501-1644491933-601013333-1214\LBTWi.exe
HKU\S-1-5-21-1308201689-4085701984-572099570-2217\...\MountPoints2: {c2f305aa-ebb4-11de-9966-001d6040544e} - G:\usdeiect.com
HKU\S-1-5-21-1308201689-4085701984-572099570-2217\...\MountPoints2: {c2f305ab-ebb4-11de-9966-001d6040544e} - I:\usdeiect.com
HKU\S-1-5-21-1308201689-4085701984-572099570-2217\...\MountPoints2: {d5202e52-95b5-11e1-93bc-001d6040544e} - G:\nijetebi/dosebe.exe
HKU\S-1-5-21-1308201689-4085701984-572099570-2217\...\MountPoints2: {ebcb5ed0-e45f-11e0-9379-001d6040544e} - G:\fakerica//shmekerica.exe
HKU\S-1-5-21-1308201689-4085701984-572099570-2217\...\MountPoints2: {f9cb4616-cade-11de-995d-001d6040544e} - F:\LOPNA\AZIZ\LAX.exe
HKU\S-1-5-21-1308201689-4085701984-572099570-2217\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/search
HKU\S-1-5-21-1308201689-4085701984-572099570-2217\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/search
HKU\S-1-5-21-1308201689-4085701984-572099570-2217\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://webalta.ru/search
Toolbar: HKU\S-1-5-21-1308201689-4085701984-572099570-2217 -> No Name - {35065594-9169-4A34-B167-FC4865038E53} - No File
Toolbar: HKU\S-1-5-21-1308201689-4085701984-572099570-2217 -> No Name - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - No File
Toolbar: HKU\S-1-5-21-1308201689-4085701984-572099570-2217 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
FF NetworkProxy: "http", "localhost"
FF NetworkProxy: "http_port", 8180
FF NetworkProxy: "socks", "localhost"
FF NetworkProxy: "socks_port", 9050
FF NetworkProxy: "type", 0
OPR Extension: (CinemaLoad) - C:\Documents and Settings\wedmed.FARMA.000\Application Data\Opera Software\Opera Stable\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb [2014-02-25]
2015-12-01 11:36 - 2015-12-01 11:37 - 00000851 _____ C:\README9.txt
2015-12-01 11:36 - 2015-12-01 11:37 - 00000851 _____ C:\README8.txt
2015-12-01 11:36 - 2015-12-01 11:37 - 00000851 _____ C:\README7.txt
2015-12-01 11:36 - 2015-12-01 11:37 - 00000851 _____ C:\README6.txt
2015-12-01 11:36 - 2015-12-01 11:37 - 00000851 _____ C:\README5.txt
2015-12-01 11:36 - 2015-12-01 11:37 - 00000851 _____ C:\README4.txt
2015-12-01 11:36 - 2015-12-01 11:37 - 00000851 _____ C:\README3.txt
2015-12-01 11:36 - 2015-12-01 11:37 - 00000851 _____ C:\README2.txt
2015-12-01 11:36 - 2015-12-01 11:37 - 00000851 _____ C:\README10.txt
2015-12-01 11:25 - 2015-12-04 09:15 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]
08.12.2015, 08:44
wedmed

Вложений: 2

при первой обработке fixlist.txt произошла ошибка. Вероятно помешал антивирусник AVG. Результат - Fixlog1.txt
второй запуск при отключеном AVG прошёл успешно. Результат - Fixlog.txt
08.12.2015, 16:47
thyrex

С расшифровкой не поможем
08.12.2015, 17:00
wedmed

расшифровка в принципе невозможна, или могут помочь в платном разделе?
08.12.2015, 19:24
thyrex

Когда мы пишем о невозможности, это касается любого варианта
08.12.2015, 23:15
wedmed

очень жаль, что нет возможности расшифровать файлы. В любом случае благодарю вас за помощь в лечении.
08.12.2015, 23:25
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\all users\application data\windows\csrss.exe - [B]Trojan.Win32.Fsysna.clho[/B] ( DrWEB: Trojan.Encoder.858, AVAST4: Win32:Malware-gen )[/LIST][/LIST]