На компе зашифрованы файлы breaking bad

Printable View

15.02.2016, 14:08
budmash

Вложений: 3

На компе зашифрованы файлы breaking bad

На почту пришло письмо с вложенным файлом. На компе боса его открыли. Результат-зашифрованы файлы. Прогнал сканерами антивирусников и FRST.exe. Но расшифровать -- увы! Помогите.
15.02.2016, 14:12
Info_bot

Уважаемый(ая) [B]budmash[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
16.02.2016, 17:58
SQ

Здравствуйте,

Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis с компьютера на котором непосредственно было заражение шифровальщиком.
17.02.2016, 16:38
budmash

Вложений: 2

Добрый день.
[QUOTE=SQ;1358986] утилитами АВЗ и HiJackThis .[/QUOTE]

Если АВЗ это avz то логи вложены.
17.02.2016, 17:41
SQ

Лог AVZ должен быть в формате [B]virusinfo_syscheck.zip[/B]

Вам знакомо ПО? (Важно не запускайте незнакое Вам ПО):
[CODE]O4 - HKCU\..\Run: [cmpbbdfr] C:\Documents and Settings\jura\Application Data\acctbdus\mag_pi32.exe[/CODE]

Если незнакомо, то выполните следующее:
HiJackThis [URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://en.v9.com/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=hp&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1406035563
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://en.v9.com/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=hp&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1406035563
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://en.v9.com/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=hp&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1406035563
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.v9.com/web/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=ds&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1378717530
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.v9.com/web/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=ds&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1378717530
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.thebestimageeditorfunapp.com/gb/uninstall/?sr=ga&lp=sag&
O4 - HKCU\..\Run: [cmpbbdfr] C:\Documents and Settings\jura\Application Data\acctbdus\mag_pi32.exe
[/CODE]
18.02.2016, 16:11
budmash

Вложений: 1

[QUOTE=SQ;1359226]Лог AVZ должен быть в формате [B]virusinfo_syscheck.zip[/B]

[/CODE][/QUOTE]
лог AVZ4 после профиксирования заархивировал вручную.
18.02.2016, 16:56
SQ

[QUOTE=budmash;1359504]лог AVZ4 после профиксирования заархивировал вручную.[/QUOTE]

Ознакомьтесь с [URL="http://virusinfo.info/pravila.html"]правилами[/URL] в которых указано как необходимо собрать логи AVZ.
19.02.2016, 11:08
budmash

Вложений: 3

Собрал все по новому
19.02.2016, 12:53
SQ

AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\jura\Application Data\acctbdus\mag_pi32.exe','');
QuarantineFile('C:\Documents and Settings\jura\Application Data\desktopy.ru\desktopy.exe','');
QuarantineFile('C:\DOCUME~1\jura\LOCALS~1\APPLIC~1\DProtect\eBP.dll','');
QuarantineFile('C:\DOCUME~1\jura\LOCALS~1\APPLIC~1\DProtect\eBPSD.dll','');
QuarantineFile('C:\Program Files\total commander podarok edition\programm\mpr\mpr_freader.sys','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cmpbbdfr','command');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.

- Сделайте лог [URL=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]Check Browsers' LNK[/URL] и приложите его в теме.
19.02.2016, 15:50
budmash

Вложений: 2

Скрипты запустил.
Логи прикреплены.
19.02.2016, 16:40
SQ

[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]

[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Приложите новый лог AVZ.
22.02.2016, 14:31
budmash

Вложений: 3

Отчеты прикреплены.
23.02.2016, 02:06
SQ

Знакома ли Вам ПО:
[CODE]c:\program files\lines98\lines98.exe[/CODE]

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
23.02.2016, 11:42
budmash

Вложений: 2

[QUOTE=SQ;1360690]Знакома ли Вам ПО:
[CODE]c:\program files\lines98\lines98.exe[/CODE][/list][/QUOTE]

Знакома и нужна.
Отчет после сканирования.
24.02.2016, 01:09
SQ

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
AppInit_DLLs: C:\DOCUME~1\jura\LOCALS~1\APPLIC~1\DProtect\eBP.dll => No File
AppInit_DLLs: ,C:\DOCUME~1\jura\LOCALS~1\APPLIC~1\DProtect\eBPSD.dll => No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.v9.com/web/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=ds&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1378717530
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.v9.com/web/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=ds&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1378717530
SearchScopes: HKU\S-1-5-21-57989841-1993962763-839522115-1006 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yandex.ru/search/?win=212&clid=1969032&text={searchTerms}
SearchScopes: HKU\S-1-5-21-57989841-1993962763-839522115-1006 -> 9128DA878BBFE1B953AE2C96744A5F28 URL = hxxp://search.v9.com/web/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=ds&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1384154156
BHO: Octh Class -> {000123B4-9B42-4900-B3F7-F4B073EFC214} -> C:\Program Files\Orbitdownloader\orbitcth.dll => No File
Toolbar: HKLM - Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll No File
FF NewTab: hxxp://en.v9.com/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=hp&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1445322896
FF SearchEngineOrder.1: v9
FF SelectedSearchEngine: v9
FF Homepage: hxxp://en.v9.com/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=hp&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1445322896
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\v9.xml [2013-09-09]
CHR HKLM\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
Task: C:\WINDOWS\Tasks\klcp_update.job => CMD /C sc create KLCPU binPath CMD /V /C SET \FILE \ ProgramFiles \ Lite Codec Pack Tools CodecTweakTool exe\\ IF EXIST FILE START \CTT\ FILE /verysilent /update /freq 30 type own type interact net start KLCPU sc delete KLCPU CMD jura
ShortcutWithArgument: C:\Documents and Settings\jura\Главное меню\Программы\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://en.v9.com/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=sc&from=bnd&uid=ST500DM002-1BD142_Z3T8K9YAXXXXZ3T8K9YA&ts=1395639791
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cmpbbdfr]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\desktopy]
File: C:\Documents and Settings\jura\Application Data\desktopy.ru\desktopy.exe
Folder: C:\Documents and Settings\jura\Application Data\desktopy.ru
C:\Documents and Settings\jura\Application Data\desktopy.ru\desktopy.exe
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

Обратите внимание имеются проблемы с файловой системой:
[CODE]
Error: (02/23/2016 07:49:56 AM) (Source: 0) (EventID: 32767) (User: )
Description: error file fchkdsk.c line 1530 status c0000001

Error: (02/23/2016 07:49:56 AM) (Source: 0) (EventID: 32767) (User: )
Description: error file fstorage.c line 1048 status 50012

Error: (02/23/2016 07:49:56 AM) (Source: 0) (EventID: 11) (User: )
Description: \Device\Harddisk0\D

Error: (02/23/2016 07:49:55 AM) (Source: 0) (EventID: 11) (User: )
Description: \Device\Harddisk0\D

Error: (02/23/2016 07:49:55 AM) (Source: 0) (EventID: 11) (User: )
Description: \Device\Harddisk0\D

Error: (02/23/2016 07:49:54 AM) (Source: 0) (EventID: 11) (User: )
Description: \Device\Harddisk0\D

Error: (02/23/2016 07:49:54 AM) (Source: 0) (EventID: 11) (User: )
Description: \Device\Harddisk0\D

Error: (02/22/2016 12:47:48 PM) (Source: 0) (EventID: 32767) (User: )
Description: error file fchkdsk.c line 1530 status c0000001

Error: (02/22/2016 12:47:48 PM) (Source: 0) (EventID: 32767) (User: )
Description: error file fstorage.c line 1048 status 50012

Error: (02/22/2016 12:47:48 PM) (Source: 0) (EventID: 11) (User: )
Description: \Device\Harddisk0\D
[/CODE]

С расшифровкой не поможем.
24.02.2016, 10:24
budmash

Вложений: 1

Отправляю отчет.
24.02.2016, 11:15
SQ

С расшифровкой пока без шансов.
24.02.2016, 11:25
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]