Вирус CTB-Locker [HEUR:Trojan.Win32.Generic ]

[mike 1]

Попробуйте выполнить скрипт из сообщения №35 еще раз, а потом сделайте новые логи AVZ, HiJackThis.

[tmj1]

Еще раз 35 скрипт. Дату в системе поменяла на правильную. И новые логи avz, HiJackThis.

[mike 1]

Уже где-то новую заразу умудрились поймать. Перед выполнением скрипта создайте точку восстановления. Антивирус Avira если получится попробуйте штатно деинсталлировать.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin    
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('c:\users\user\appdata\local\temp\d6c3.tmp','');
 QuarantineFile('C:\Users\user\AppData\Local\kdpvjaz.dll','');
 DeleteFile('C:\Users\user\AppData\Local\kdpvjaz.dll','32');
 DeleteFile('C:\Program Files\Avira\My Avira\Avira.OE.ServiceHost.exe','32');
 DeleteFile('C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE','32');
 DeleteFile('C:\Program Files\Avira\AntiVir Desktop\avguard.exe','32');
 DeleteFile('C:\Program Files\Avira\AntiVir Desktop\sched.exe','32');
 DeleteFile('C:\Windows\system32\DRIVERS\avgntflt.sys','32');
 DeleteFile('C:\Program Files\Avira\My Avira\Avira.OE.Systray.exe','32');
 DelBHO('{C1AF5FA5-852C-4C90-812E-A7F75E011D87}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kdpvjaz');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\kdpvjaz','DLLName');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Avira Systray');
 DeleteService('avgntflt');
 DeleteService('Avira.OE.ServiceHost');
 DeleteService('AntiVirWebService');
 DeleteService('AntiVirService');
 DeleteService('AntiVirSchedulerService');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;     
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

Код:

O4 - HKCU\..\Run: [kdpvjaz] rundll32 "C:\Users\user\AppData\Local\kdpvjaz.dll",kdpvjaz
O20 - Winlogon Notify: kdpvjaz - C:\Users\user\AppData\Local\kdpvjaz.dll

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[tmj1]

Зараза вероятно с флешки. Она тут ходит туда сюда...
Вот новые логи...

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[tmj1]

Сделано...

[mike 1]

Переустановите антивирус:

Avira

Деинсталлируйте:

BrowseFox 3.0.0
DefaultTab
Delta Chrome Toolbar
Delta toolbar
FTDownloader
FTdownloader
Search Protection
Yahoo! Search
YTD Video Downloader 4.7.2

Сделайте новые логи Farbar.

[tmj1]

Обязательно Avira переустанавливать? Хотелось бы другим антивирусом уже попользоваться.... Иначе все остальное задеинсталлировано... Логи высылаю... Есть шанс все таки разкодировать файлы после вируса?

[mike 1]

Обязательно Avira переустанавливать?

Его лучше переустановить т.к. он поврежден. Поврежденный антивирус может вызывать нестабильную работу ОС.

Есть шанс все таки разкодировать файлы после вируса?

Шансов нет. Файлы зашифрованы при помощи Trojan.Encoder.686

[tmj1]

Мда, это плохая новость... И в перспективе нет шансов, даже, если подождать неделю-месяц другой, чтобы кто-нибудь написал дешифратор? Очень надеялась, что можно разшифровать просто...

[mike 1]

И в перспективе нет шансов, даже, если подождать неделю-месяц другой, чтобы кто-нибудь написал дешифратор?

Увы. Кстати, Вебовцы тоже не помогут.

[tmj1]

Спасибо большое за помощь. Я подожду может придумают дешифратор... А междувременно еще один компьютер заразился... Новую заявку делать или здесь продолжать писать? Как этот вирус распространяетсяы чтобы не случилось снова? И какой антивирус реально помогает от него?

[mike 1]

Новую заявку делать или здесь продолжать писать?

Новую.

Я подожду может придумают дешифратор.

В данном случае его не будет из-за особенностей используемой криптографии.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 9
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files\delta\delta\1.8.24.6\deltatlbr.dll - not-a-virus:AdWare.Win32.DelBar.v
  2. c:\users\user\appdata\local\kdpvjaz.dll - HEUR:Trojan.Win32.Generic ( AVAST4: Win32:Malware-gen )