Win32/Kryptik.GUOB (Cerbu.58337) - Dr. Web Security Space защитил?

Доброго времени суток.
В результате поисков нелегального ПО похоже наткнулся на замаскированный троян с шифровальщиком. (т.к. зашифрованный архив, естественно ни один антивирус на virustotal не пикнул, в том числе на ПК)
О самом трояне - похоже - самораспаковывающийся зашифрованный архив, который сам был запакован еще на 2 уровня тоже с шифрованием. Внутри - скрипт cmd, запускающий .exe-ники.
В итоге, потерял бдительность и запустил тело самораспаковывающегося архива, но спас Dr. Web Security Space, а также контроль учетных записей (сижу всегда под обычным пользователем).
Далее понял, что к чему и не отверг запрос вируса на админ права, после чего антивирус его успешно ликвидировал (вроде). Никаких защифрованных файлов, или сбоев в ОС, ПО, интернете нет.
После этого просканировал компьютер загрузочными дисками Dr. Web, Kaspersky, Avira, - Dr.Web только нашел один .exe файл с случайным именем (и также определил его вроде как какой-то cryptor) во временной папке пользователя (сейчас он в карантине). Остальные антивирусы - ничего.
На всякий случай решил обратиться к вам - вдруг есть какие-то не вычищенные оставленные следы.
ПС: Сам файл трояна, а также ссылку на первоисточник (веб-сайт) могу скинуть (не стал тут прикреплять из-за соображений безопасности)
(Эту же информацию направлю компании-разработчику АВ доктор Веб).
[URL="https://www.virustotal.com/gui/file/06c371271285321dd3bc13a839c61e3ced6e8d5774d77c7b14fb36c911ca06a6/detection"]Вот ссылка[/URL] на анализ содержимого этого архива

Архив с логами превышает лимит в 1 мб, залил на файлообменники:
[URL]https://send.firefox.com/download/aebbdb33403ee3e6/#NRWjCck0iX0PmutK77hOqw[/URL]
[URL]https://ru.files.fm/u/brg5m8tr[/URL]

Заранее благодарю всех специалистов за столь муторную, но очень важную работу! :thumbs::thank_you2:

Уважаемый(ая) [B]Mbus7cx[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,

Сами прописывали?
[CODE]
R1 - HKU\S-1-5-21-1491404928-1398095864-2272447609-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = 127.0.0.1
[/CODE]


HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[B]Важно[/B]: необходимо отметить и профиксить [B]только[/B] то, что указано ниже.
[CODE]
O2-32 - HKLM\..\BHO: (no name) - AutorunsDisabled - (no file)
O9 - Button: HKLM\..\AutorunsDisabled: (no name) - (no file)
O9-32 - Button: HKLM\..\AutorunsDisabled: (no name) - (no file)
O9-32 - Button: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}: &Связанные заметки OneNote - (no file)
O9-32 - Tools menu item: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}: &Связанные заметки OneNote - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\AutorunsDisabled: (no name) - - (no file)
[/CODE]


AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

- Подготовьте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]AdwCleaner[/URL] и приложите его в теме.

Здравствуйте! Спасибо что откликнулись :good2:
[QUOTE=SQ;1505138]Сами прописывали?
[CODE]
R1 - HKU\S-1-5-21-1491404928-1398095864-2272447609-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = 127.0.0.1
[/CODE][/QUOTE]
Да, все верно. Прокси (DNS-сервер на локалхосте) сам прописывал.
HiJackThis - пофиксил.
AVZ - скрипт выполнил.
AVZ- файл карантина - пустой получился, поэтому пишет ошибку при загрузке - такой файл уже был загружен.
лог AdwCleaner прикрепил.

[QUOTE=Mbus7cx;1505149]
AVZ- файл карантина - пустой получился, поэтому пишет ошибку при загрузке - такой файл уже был загружен.
[/QUOTE]

Карантина в скрипте не было, случайно добавился шаблон.

Сами устанавливали WinRepairPro?


- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.corovin.info/FRST_Icon.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"SigCheckExt"[/i].
[img]https://i.corovin.info/FRST.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

[QUOTE=SQ;1505152]Сами устанавливали WinRepairPro?[/QUOTE]
Нет. Этой проги и в списке установленных (в панели управления) нет. :O
Логи FRSTприкреплены

В логе AdwCleaner есть упоменание этой программы.

[url=https://virusinfo.info/showthread.php?t=218752&p=1480599&viewfull=1#post1480599]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Сами отключали восстановление системы?
[CODE]HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <==== ATTENTION[/CODE]

[QUOTE=SQ;1505160]Удалите в AdwCleaner [/QUOTE]
Ок.

[QUOTE=SQ;1505160]Сами отключали восстановление системы?[CODE]HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <==== ATTENTION[/CODE][/QUOTE]
Да, система на SSD, плюс резервные копии хоть и не часто но делаю Акронисом.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[QUOTE=SQ;1505160]Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.[/QUOTE]
Сделано. (Кстати, там он на 2 необычных ярлыка ругался - я их пропустил - я забыл, что сам их создал для своих браузеров). Еще раз благодарю за вашу помощь :)

[QUOTE=Mbus7cx;1505161]
Да, система на SSD, плюс резервные копии хоть и не часто но делаю Акронисом.
[/QUOTE]

Хорошо, а то обычно что шифровальщики делают отключают резервное копирования и теневые копии.

Скачайте программу [url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url] и [url="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/url].

Сделано
[url]https://ru.files.fm/u/s2hx7fnm[/url] (файл более 1 мб)

Ничего плохого в логах не замечено. Что-то беспокоит вас?

[QUOTE=SQ;1505182]Ничего плохого в логах не замечено. Что-то беспокоит вас?[/QUOTE]
Понял)
Да вроде все в порядке. Больше ничего не беспокоит) Большое вам спасибо, что откликнулись. :beer: Разве что к вам лично вопрос немного не по теме - сейчас есть толковые бесплатные антивирусы (и брандмауэры)? Заранее благодарю за ответ.

[QUOTE=Mbus7cx;1505184]Разве что к вам лично вопрос немного не по теме - сейчас есть толковые бесплатные антивирусы (и брандмауэры)? Заранее благодарю за ответ.[/QUOTE]
К сожалению такие незнаю, с этим помочь не смогу.

В завершение:
1.
[list][*]Пожалуйста, запустите adwcleaner.exe[*]В меню [B]Настройки[/B] -[B] Удалить AdwCleaner[/B] - выберите [B]Удалить[/B].[*]Подтвердите удаление, нажав кнопку: Да.[/list]

Переименуйте FRST.exe (или FRST64.exe) в [B]uninstall.exe[/B] и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

Благодарю за помощь, инструкции выполнил. Всего доброго :beer: