Trojan.Encoder.858 [not-a-virus:HEUR:Downloader.Win32.Generic]

[pgvan1]

Здравствуйте.
При открытии файла в почте, были зашифрованы файлы и документы на жестких дисках. Подскажите пожалуйста можно ли что-нибудь сделать? И как можно проверить и вычистить систему после атаки?
Спасибо.

[Info_bot]

Уважаемый(ая) pgvan1, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

https://virusinfo.info/pravila.html

[pgvan1]

Здравствуйте.

[Vvvyg]

Шифровальщика, похоже, уже нет, но много другой нечисти.

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:

Код:

O2 - HKLM\..\BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - C:\Users\Zotler\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll
O2 - HKLM\..\BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{7EA0C046-E1AD-40C4-A5DC-CE2EC9F6EA09}: [NameServer] = 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{7EA0C046-E1AD-40C4-A5DC-CE2EC9F6EA09}: [NameServer] = 82.163.143.176
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\programdata\{16669a58-a1cd-2df3-1b47-3bcb9135d49d}\d01df887-67b6-4f2c-2ca6-2536009d11d1.exe');
 QuarantineFile('C:\PROGRA~2\c45e633d\e65451d2.dll', '');
 QuarantineFile('C:\PROGRA~2\SysWOW64\0hOFVZ.cmd', '');
 QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe', '');
 QuarantineFile('c:\programdata\{16669a58-a1cd-2df3-1b47-3bcb9135d49d}\d01df887-67b6-4f2c-2ca6-2536009d11d1.exe', '');
 QuarantineFile('C:\Users\Zotler\AppData\Local\EC1EB3C4-AD38-3D1E-224E-7920BBCE4EC7\{E65451D2-32EF-220A-16E2-4A0AD79F141F}..', '');
 QuarantineFileF('C:\ProgramData\Windows', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true,'', 0, 0);
 QuarantineFile('C:\Users\Zotler\AppData\Local\Phoenix Browser Updater\Phoenix', '');
 DeleteFile('C:\PROGRA~2\c45e633d\e65451d2.dll', '32');
 DeleteFile('C:\PROGRA~2\SysWOW64\0hOFVZ.cmd', '32');
 DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe', '32');
 DeleteFile('c:\programdata\{16669a58-a1cd-2df3-1b47-3bcb9135d49d}\d01df887-67b6-4f2c-2ca6-2536009d11d1.exe', '');
 DeleteFile('C:\ProgramData\{16669A58-A1CD-2DF3-1B47-3BCB9135D49D}\D01DF887-67B6-4F2C-2CA6-2536009D11D1.exe', '32');
 DeleteFile('C:\Users\Zotler\AppData\Local\EC1EB3C4-AD38-3D1E-224E-7920BBCE4EC7\{E65451D2-32EF-220A-16E2-4A0AD79F141F}..', '32');
 DeleteFile('C:\Users\Zotler\AppData\Local\Phoenix Browser Updater\Phoenix', '32');
 ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
 DeleteFileMask('c:\progra~2\c45e633d', '*', true);
 DeleteFileMask('c:\program files\reimage\reimage protector', '*', true);
 DeleteFileMask('c:\programdata\{16669a58-a1cd-2df3-1b47-3bcb9135d49d}', '*', true);
 DeleteFileMask('c:\users\zotler\appdata\local\ec1eb3c4-ad38-3d1e-224e-7920bbce4ec7', '*', true);
 DeleteFileMask('c:\users\zotler\appdata\local\phoenix browser updater', '*', true);
 DeleteDirectory('c:\progra~2\c45e633d');
 DeleteDirectory('c:\program files\reimage\reimage protector');
 DeleteDirectory('c:\programdata\{16669a58-a1cd-2df3-1b47-3bcb9135d49d}');
 DeleteDirectory('c:\users\zotler\appdata\local\ec1eb3c4-ad38-3d1e-224e-7920bbce4ec7');
 DeleteDirectory('c:\users\zotler\appdata\local\phoenix browser updater');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Command Line Support', 'x32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaGet2', 'x32');
 DeleteSchedulerTask('{3B0563B4-8CAE-D41F-FDEC-D18679E1C659}');
 DeleteSchedulerTask('{BBAAF26D-8EB2-6C14-6D93-14BEF820863C}');
 DeleteSchedulerTask('F09F33E8-D2C6-411E-3830-C42A926E63E6');
 DeleteSchedulerTask('Phoenix Browser Updater');
 DeleteSchedulerTask('ReimageUpdater');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Приведите пример сообщения вымогателя, C:\README1.txt, например и приложите пример зашифрованного файла.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[pgvan1]

Здравствуйте.
Файл карантина отправил по ссылке.
Файл текста вымогателя README1.txt, пример зашифрованного файла(file.zip) и отчеты FRST.txt, Addition.txt(FRST_Addition.zip) прикладываю.
Спасибо.

[Vvvyg]

Расшифровки нет.
Если хотите почистить зашифрованное вместе с прочим мусором, сделайте следующее.

fixlist.zip

Распакуйте файл из вложения в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[pgvan1]

Здравствуйте.
Сделал.

[Vvvyg]

Кстати, есть точка восстановления

Код:

21-03-2019 11:06:50 Запланированная контрольная точка

Возможно, она была создана до работы шифровальщика, пробовали из теневых копи вытащить файлы? В свойствах папок -> Предыдущие версии - есть что-то за эту дату?

------------------------------- [ HotFix ] --------------------------------
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления

Устанавливайте, это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами. Система HomeBasic, наверняка лицензионная, почему не обновляете?

Контроль учётных записей пользователя отключен

Рекомендую ознакомиться со статьёй Так ли страшен контроль учетных записей (UAC)? и включить.
По крайней мере, при запуске чего-то нехорошего будет запрос на повышение прав, который может кого-то остановить.
И давать всем пользователям права администратора - крайне нехорошая практика.

Обновите обязательно:

WinRAR 4.20.0 (32-разрядная) v.4.20.0 Внимание! Скачать обновления
Java 8 Update 40 v.8.0.400 Внимание! Скачать обновления
Adobe AIR v.3.1.0.4880 Внимание! Скачать обновления

[CyberHelper]

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

• =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
• =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 14
• =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
  =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
  
  1. c:\programdata\{16669a58-a1cd-2df3-1b47-3bcb9135d49d}\d01df887-=
     67b6-4f2c-2ca6-2536009d11d1.exe - not-a-virus:HEUR:Downloader.Win32=
     =2EGeneric ( AVAST4: Win32:Adware-gen [Adw] )