Файлы зашифрованы и добавилось расширение HTA [Trojan.Win32.Refinka.cdj ]

[Владимир53 цw]

Файлы зашифрованы и добавилось расширение HTA от программы шифровщика, это все файлы с расширениями DWG, PDF, IPEG и другие

[Info_bot]

Уважаемый(ая) Владимир53 цw, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Vladimir\appdata\roaming\tablacusapp\tablacusapp.exe','');
 QuarantineFile('C:\Users\Vladimir\AppData\Roaming\setupsk\app.py','');
 QuarantineFile('C:\Users\Vladimir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\S739F961.hta','');
 QuarantineFile('C:\Users\Vladimir\AppData\Roaming\setupsk\ml.py','');
 QuarantineFile('C:\Users\Vladimir\AppData\Roaming\setupsk\python\pythonw.exe','');
 DeleteFile('C:\Users\Vladimir\AppData\Roaming\setupsk\python\pythonw.exe','32');
 DeleteFile('C:\Users\Vladimir\AppData\Roaming\setupsk\ml.py','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaGet2');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk');
 DeleteFile('C:\Users\Vladimir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\S739F961.hta','32');
 DeleteFile('C:\Windows\system32\Tasks\setupsk','64');
 DeleteFile('C:\Users\Vladimir\AppData\Roaming\setupsk\app.py','32');
 DeleteFile('C:\Windows\system32\Tasks\setupsk2','64');
 DeleteFile('C:\Users\Vladimir\appdata\roaming\tablacusapp\tablacusapp.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Владимир53 цw]

Файлы отправил.

[thyrex]

А дочитать до конца сил не хватило

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи

[Владимир53 цw]

отправил логи вместе с карантином. вот выкладываю еще раз сюда.
оформил подписку помогите +

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Владимир53 цw]

Два файла в одном архиве FRST and Addition.rar , доступ к платной рассылке "Индивидуальное лечение компьютера от вредоносных программ" продлил - 299 руб.

[thyrex]

C:\Users\Vladimir\AppData\Local\Temp\rad0387B.EXE заархивируйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Образцы зашифрованных doc или docx файлов прикрепите в архиве к следующему сообщению вместе с сообщением вымогателей для связи.

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKLM-x32\...\Run: [DicterRu] => [X]
HKLM-x32\...\Run: [mbot_ru_82] => [X]
Toolbar: HKU\S-1-5-21-3063193870-3267932921-1217470888-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
FF SearchPlugin: C:\Users\Vladimir\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\findit.xml [2016-08-24]
FF HKLM\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\Vladimir\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack
FF Extension: (SuperMegaBest.com) - C:\Users\Vladimir\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack [2015-01-22] [not signed]
CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jkfblcbjfojmgagikhldeppgmgdpjkpl] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X]
2017-09-20 13:36 - 2017-09-20 13:36 - 000178688 _____ () C:\Users\Vladimir\AppData\Local\Temp\rad0387B.EXE
2017-09-25 09:42 - 2017-09-25 09:42 - 000178688 _____ () C:\Users\Vladimir\AppData\Local\Temp\rad5BC8B.EXE
2017-09-22 10:21 - 2017-09-22 10:21 - 000178688 _____ () C:\Users\Vladimir\AppData\Local\Temp\rad6183A.EXE
2017-09-20 17:32 - 2017-09-20 17:32 - 000178688 _____ () C:\Users\Vladimir\AppData\Local\Temp\rad827F1.EXE
2017-09-22 09:17 - 2017-09-22 09:17 - 000178688 _____ () C:\Users\Vladimir\AppData\Local\Temp\radA3D96.EXE
2017-09-20 14:42 - 2017-09-20 14:42 - 000178688 _____ () C:\Users\Vladimir\AppData\Local\Temp\radCB719.EXE
2017-09-20 14:41 - 2017-09-20 14:41 - 000178688 _____ () C:\Users\Vladimir\AppData\Local\Temp\radEB36C.EXE
2017-09-20 13:35 - 2017-09-20 13:35 - 000178688 _____ () C:\Users\Vladimir\AppData\Local\Temp\radFCB7C.EXE
2016-08-24 08:48 - 2016-08-24 08:48 - 007118336 _____ () C:\Users\Vladimir\AppData\Roaming\agent.dat
2016-08-24 08:48 - 2016-08-24 08:48 - 000054272 _____ () C:\Users\Vladimir\AppData\Roaming\ApplicationHosting.dat
2016-08-24 08:48 - 2016-08-24 08:48 - 000070704 _____ () C:\Users\Vladimir\AppData\Roaming\Config.xml
2013-03-04 17:28 - 2013-03-04 17:28 - 000000270 _____ () C:\Users\Vladimir\AppData\Roaming\ex_log.txt
2016-08-24 08:48 - 2016-08-24 08:47 - 000695296 _____ () C:\Users\Vladimir\AppData\Roaming\FlexZoolight.exe
2016-08-24 08:48 - 2016-08-24 08:48 - 000072711 _____ () C:\Users\Vladimir\AppData\Roaming\FlexZoolight.tst
2016-08-24 08:48 - 2016-08-24 08:47 - 000695296 _____ () C:\Users\Vladimir\AppData\Roaming\Gravejoyjob.exe
2016-08-24 08:48 - 2016-08-24 08:48 - 001900667 _____ () C:\Users\Vladimir\AppData\Roaming\Gravejoyjob.tst
2016-08-24 08:48 - 2016-08-24 08:48 - 000018240 _____ () C:\Users\Vladimir\AppData\Roaming\InstallationConfiguration.xml
2016-08-24 08:48 - 2016-08-24 08:48 - 000138240 _____ () C:\Users\Vladimir\AppData\Roaming\Installer.dat
2016-08-24 08:48 - 2016-08-24 08:48 - 000126464 _____ () C:\Users\Vladimir\AppData\Roaming\lobby.dat
2016-08-24 08:48 - 2016-08-24 08:48 - 000018432 _____ () C:\Users\Vladimir\AppData\Roaming\Main.dat
2016-08-24 08:48 - 2016-08-24 08:48 - 000005568 _____ () C:\Users\Vladimir\AppData\Roaming\md.xml
2016-08-24 08:48 - 2016-08-24 08:48 - 000126464 _____ () C:\Users\Vladimir\AppData\Roaming\noah.dat
Task: {53AD3F71-18CC-4732-A597-C28871E99DD3} - \setupsk2 -> No File <==== ATTENTION
Task: {71892A91-0A29-463C-845D-1DE8DEB1DBF6} - \setupsk -> No File <==== ATTENTION
Task: {E449DAC0-FE6C-4784-A8F4-633D8E112ABA} - \Microsoft\Windows\Media Center\RegisterObject -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Владимир53 цw]

Уважаемые господа! Высылаю запрошенные файлы.

[thyrex]

Похоже, что это новая версия Spora. C расшифровкой помочь не сможем.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 8
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\vladimir\appdata\roaming\tablacusapp\tabl acusapp.exe - not-a-virus:AdWare.Win32.Hpdefender.pbb
  2. \rad0387b.exe - Trojan.Win32.Refinka.cdj