Trojan.Encoder.858 [not-a-virus:HEUR:Downloader.Win32.Generic]

Printable View

26.03.2019, 15:35
pgvan1

Вложений: 2

Trojan.Encoder.858 [not-a-virus:HEUR:Downloader.Win32.Generic]

Здравствуйте.
При открытии файла в почте, были зашифрованы файлы и документы на жестких дисках. Подскажите пожалуйста можно ли что-нибудь сделать? И как можно проверить и вычистить систему после атаки?
Спасибо.
26.03.2019, 15:37
Info_bot

Уважаемый(ая) [B]pgvan1[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
27.03.2019, 06:51
Vvvyg

[url]https://virusinfo.info/pravila.html[/url]
28.03.2019, 09:11
pgvan1

Вложений: 1

Здравствуйте.
28.03.2019, 21:29
Vvvyg

Шифровальщика, похоже, уже нет, но много другой нечисти.

Запустите HijackThis, расположенный в папке Autologger (в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]Запуск от имени администратора)[/B])и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O2 - HKLM\..\BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - C:\Users\Zotler\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll
O2 - HKLM\..\BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{7EA0C046-E1AD-40C4-A5DC-CE2EC9F6EA09}: [NameServer] = 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{7EA0C046-E1AD-40C4-A5DC-CE2EC9F6EA09}: [NameServer] = 82.163.143.176
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176[/code]
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\programdata\{16669a58-a1cd-2df3-1b47-3bcb9135d49d}\d01df887-67b6-4f2c-2ca6-2536009d11d1.exe');
QuarantineFile('C:\PROGRA~2\c45e633d\e65451d2.dll', '');
QuarantineFile('C:\PROGRA~2\SysWOW64\0hOFVZ.cmd', '');
QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe', '');
QuarantineFile('c:\programdata\{16669a58-a1cd-2df3-1b47-3bcb9135d49d}\d01df887-67b6-4f2c-2ca6-2536009d11d1.exe', '');
QuarantineFile('C:\Users\Zotler\AppData\Local\EC1EB3C4-AD38-3D1E-224E-7920BBCE4EC7\{E65451D2-32EF-220A-16E2-4A0AD79F141F}..', '');
QuarantineFileF('C:\ProgramData\Windows', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true,'', 0, 0);
QuarantineFile('C:\Users\Zotler\AppData\Local\Phoenix Browser Updater\Phoenix', '');
DeleteFile('C:\PROGRA~2\c45e633d\e65451d2.dll', '32');
DeleteFile('C:\PROGRA~2\SysWOW64\0hOFVZ.cmd', '32');
DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe', '32');
DeleteFile('c:\programdata\{16669a58-a1cd-2df3-1b47-3bcb9135d49d}\d01df887-67b6-4f2c-2ca6-2536009d11d1.exe', '');
DeleteFile('C:\ProgramData\{16669A58-A1CD-2DF3-1B47-3BCB9135D49D}\D01DF887-67B6-4F2C-2CA6-2536009D11D1.exe', '32');
DeleteFile('C:\Users\Zotler\AppData\Local\EC1EB3C4-AD38-3D1E-224E-7920BBCE4EC7\{E65451D2-32EF-220A-16E2-4A0AD79F141F}..', '32');
DeleteFile('C:\Users\Zotler\AppData\Local\Phoenix Browser Updater\Phoenix', '32');
ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
DeleteFileMask('c:\progra~2\c45e633d', '*', true);
DeleteFileMask('c:\program files\reimage\reimage protector', '*', true);
DeleteFileMask('c:\programdata\{16669a58-a1cd-2df3-1b47-3bcb9135d49d}', '*', true);
DeleteFileMask('c:\users\zotler\appdata\local\ec1eb3c4-ad38-3d1e-224e-7920bbce4ec7', '*', true);
DeleteFileMask('c:\users\zotler\appdata\local\phoenix browser updater', '*', true);
DeleteDirectory('c:\progra~2\c45e633d');
DeleteDirectory('c:\program files\reimage\reimage protector');
DeleteDirectory('c:\programdata\{16669a58-a1cd-2df3-1b47-3bcb9135d49d}');
DeleteDirectory('c:\users\zotler\appdata\local\ec1eb3c4-ad38-3d1e-224e-7920bbce4ec7');
DeleteDirectory('c:\users\zotler\appdata\local\phoenix browser updater');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Command Line Support', 'x32');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaGet2', 'x32');
DeleteSchedulerTask('{3B0563B4-8CAE-D41F-FDEC-D18679E1C659}');
DeleteSchedulerTask('{BBAAF26D-8EB2-6C14-6D93-14BEF820863C}');
DeleteSchedulerTask('F09F33E8-D2C6-411E-3830-C42A926E63E6');
DeleteSchedulerTask('Phoenix Browser Updater');
DeleteSchedulerTask('ReimageUpdater');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(21);
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Приведите пример сообщения вымогателя, C:\README1.txt, например и приложите пример зашифрованного файла.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
01.04.2019, 10:26
pgvan1

Вложений: 3

Здравствуйте.
Файл карантина отправил по ссылке.
Файл текста вымогателя README1.txt, пример зашифрованного файла(file.zip) и отчеты FRST.txt, Addition.txt(FRST_Addition.zip) прикладываю.
Спасибо.
01.04.2019, 20:27
Vvvyg

Вложений: 1

Расшифровки нет.
Если хотите почистить зашифрованное вместе с прочим мусором, сделайте следующее.

[ATTACH=CONFIG]677237[/ATTACH]

Распакуйте файл из вложения в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.
03.04.2019, 09:50
pgvan1

Вложений: 2

Здравствуйте.
Сделал.
03.04.2019, 11:53
Vvvyg

Кстати, есть точка восстановления[CODE]21-03-2019 11:06:50 Запланированная контрольная точка[/CODE]Возможно, она была создана до работы шифровальщика, пробовали из теневых копи вытащить файлы? В свойствах папок -> Предыдущие версии - есть что-то за эту дату?
[QUOTE]------------------------------- [ HotFix ] --------------------------------
HotFix KB3140735 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-026.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3138962 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-027.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3145739 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-039.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3156013 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-055.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3155178 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-056.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3153171 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-061.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3178034 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-097.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3184122 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-116.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3192391 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-122.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3197867 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3197867]Скачать обновления[/url][/b][/color]
HotFix KB3205394 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3205394]Скачать обновления[/url][/b][/color]
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4019263 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4019263]Скачать обновления[/url][/b][/color]
HotFix KB4022722 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4022722]Скачать обновления[/url][/b][/color]
HotFix KB4015546 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4015546]Скачать обновления[/url][/b][/color]
HotFix KB4025337 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4025337]Скачать обновления[/url][/b][/color]
HotFix KB4034679 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4034679]Скачать обновления[/url][/b][/color]
HotFix KB4041678 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4041678]Скачать обновления[/url][/b][/color][/QUOTE]Устанавливайте, это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами. Система HomeBasic, наверняка лицензионная, почему не обновляете?

[QUOTE][color=red][b]Контроль учётных записей пользователя [b]отключен[/b][/b][/color][/QUOTE]
Рекомендую ознакомиться со статьёй [URL="http://www.outsidethebox.ms/10034/"]Так ли страшен контроль учетных записей (UAC)?[/URL] и включить.
По крайней мере, при запуске чего-то нехорошего будет запрос на повышение прав, который может кого-то остановить.
И давать всем пользователям права администратора - крайне нехорошая практика.

Обновите обязательно:[QUOTE]WinRAR 4.20.0 (32-разрядная) v.4.20.0 [color=red][b]Внимание! [url=http://www.rarlab.com/download.htm]Скачать обновления[/url][/b][/color]
Java 8 Update 40 v.8.0.400 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html]Скачать обновления[/url][/b][/color]
Adobe AIR v.3.1.0.4880 [color=red][b]Внимание! [url=https://get.adobe.com/ru/air/]Скачать обновления[/url][/b][/color][/QUOTE]
03.04.2019, 12:03
CyberHelper

=C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]1[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]14[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] c:\programdata\{16669a58-a1cd-2df3-1b47-3bcb9135d49d}\d01df887-=
67b6-4f2c-2ca6-2536009d11d1.exe - [B]not-a-virus:HEUR:Downloader.Win32=
=2EGeneric[/B] ( AVAST4: Win32:Adware-gen [Adw] )[/LIST][/LIST]