Помогите расшифроваться от [email protected] [not-a-virus:HEUR:AdWare.MSIL.Kranet.heur ]

**skckos** · 15.08.2014, 19:15

Добрый день.Поймал вирус. Помогите расшифроваться от

IMG_3109.JPG.id-{XEJPVBHNSYEJPVBGMSXDJPUAGLRWCHNTZEKQ-14.08.2014
Файлы https://yadi.sk/d/tG8Dx6vGZjzj3

СПАСИБО

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 15.08.2014, 19:17

Уважаемый(ая) skckos, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 15.08.2014, 23:08

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Program Files\mega browse\updatemegabrowse.exe','');
 QuarantineFile('C:\PROGRA~1\SupTab\SEARCH~1.DLL','');
 QuarantineFile('C:\Documents and Settings\user\Local Settings\Application Data\storegid\storegid.exe','');
 QuarantineFile('C:\Documents and Settings\user\Local Settings\Application Data\storegid\storegidup.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}t.sys','');
 DeleteFile('C:\Program Files\Deal Keeper\updateDealKeeper.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\WindowsMangerProtect\ProtectWindowsManager.exe','32');
 DeleteFile('C:\WINDOWS\system32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}t.sys','32');
 DeleteFile('C:\Documents and Settings\user\Local Settings\Application Data\storegid\storegidup.exe','32');
 DeleteFile('C:\Documents and Settings\user\Local Settings\Application Data\storegid\storegid.exe','32');
 DeleteFile('C:\PROGRA~1\SupTab\SEARCH~1.DLL','32');
 DeleteFile('C:\Program Files\mega browse\updatemegabrowse.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegidUpdater','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegid','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64');
 DeleteService('{55dce8ba-9dec-4013-937e-adbf9317d990}t');
 DeleteService('F06DEFF2-5B9C-490D-910F-35D3A91196222');
 DeleteService('WindowsMangerProtect');
 DeleteService('Update Deal Keeper');
 DeleteFileMask('C:\Documents and Settings\user\Local Settings\Application Data\storegid', '*', true, ' ');
 DeleteFileMask('C:\Program Files\mega browse', '*', true, ' ');
 DeleteDirectory('C:\Documents and Settings\user\Local Settings\Application Data\storegid');     
 DeleteDirectory('C:\Program Files\mega browse');    
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(9);
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1404887479&from=cor&uid=ST3120827AS_5MT3HZS6XXXX5MT3HZS6&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1404887479&from=cor&uid=ST3120827AS_5MT3HZS6XXXX5MT3HZS6&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1404887479&from=cor&uid=ST3120827AS_5MT3HZS6XXXX5MT3HZS6&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1404887479&from=cor&uid=ST3120827AS_5MT3HZS6XXXX5MT3HZS6&q={searchTerms}
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O20 - AppInit_DLLs: C:\PROGRA~1\SupTab\SEARCH~1.DLL

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

**skckos** · 18.08.2014, 08:49

Добрый день. Сделал рекомендации. Новые логи

**mike 1** · 18.08.2014, 12:36

Карантин загружайте по красной ссылке, а не выкладывайте его в теме.

Где лог MBAM?

**skckos** · 18.08.2014, 14:35

Простите не сообразил

- - - Добавлено - - -

получится расшифровать?

- - - Добавлено - - -

140818_102727_quarantine_53f1d50f899c7.zip

**thyrex** · 18.08.2014, 17:10

Без оригинального дешифратора не получится

Поместите в карантин МВАМ всё, кроме

Код:

C:\System Volume Information\_restore{B5181F4D-F6F9-4C11-AE5D-DBC1924B7227}\RP952\A0366227.exe (PUP.Optional.Sambreel.A) -> Действие не было предпринято.
C:\System Volume Information\_restore{B5181F4D-F6F9-4C11-AE5D-DBC1924B7227}\RP963\A0371334.exe (PUP.Optional.MegaBrowse.A) -> Действие не было предпринято.
C:\System Volume Information\_restore{B5181F4D-F6F9-4C11-AE5D-DBC1924B7227}\RP966\A0381299.exe (PUP.Optional.MegaBrowse.A) -> Действие не было предпринято.

**CyberHelper** · 18.08.2014, 17:20

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\program files\mega browse\updatemegabrowse.exe - not-a-virus:HEUR:AdWare.MSIL.Kranet.heur

Помогите расшифроваться от [email protected] [not-a-virus:HEUR:AdWare.MSIL.Kranet.heur ] (заявка № 164973)

Опции темы

Помогите расшифроваться от [email protected] [not-a-virus:HEUR:AdWare.MSIL.Kranet.heur ]

Помогите расшифроваться от [email protected] [not-a-virus:HEUR:AdWare.MSIL.Kranet.heur ]

Новые логи

Лог МВАМ

Антивирусная помощь

Итог лечения

Похожие темы

требуется дешифратор файлов от Vasya Pupkin <[email protected]>

Помогите расшифроваться от [email protected]

Подцеплен шифровальщик([email protected])

Cнова [email protected] [Trojan-Ransom.Win32.Cryakl.d ]

Файлы зашифрованы [email protected]

Метки для этой темы

Ваши права в разделе