Помогите! Зашифрованные файлы [Trojan.Win32.Spamer.ho, Trojan-Ransom.Win32.Onion.d ]

[Dzmiatryk]

Формат зашифрованых файлов .CTBL

[Info_bot]

Уважаемый(ая) Dzmiatryk, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 TerminateProcessByName('c:\users\deab~1\appdata\local\temp\xxrdxjj.exe');
 TerminateProcessByName('c:\users\петя\appdata\local\temp\kb03142234.exe');
 QuarantineFile('C:\Users\петя\dmtafquv.exe','');
 QuarantineFile('C:\Users\DEAB~1\AppData\Local\Temp\KB03142234.exe','');
 QuarantineFile('C:\PROGRA~3\mskmzos.exe','');
 QuarantineFile('c:\users\deab~1\appdata\local\temp\xxrdxjj.exe','');
 QuarantineFile('c:\program files (x86)\mobogenie\mgassist.exe','');
 QuarantineFile('c:\users\петя\appdata\local\temp\kb03142234.exe','');
 DeleteFile('C:\PROGRA~3\mskmzos.exe','32');
 DeleteFile('C:\Users\DEAB~1\AppData\Local\Temp\KB03142234.exe','32');
 DeleteFile('C:\Users\петя\AppData\Local\Temp\KB03142234.exe','32');
 DeleteFile('C:\Users\петя\dmtafquv.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\dwakgnl','64');
 DeleteFile('C:\Users\DEAB~1\AppData\Local\Temp\xxrdxjj.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\System Security','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\System Components Update','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','955352586');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','System Security');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Security');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','System Security');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Security');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','System Security');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','System Security');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Security');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

[Dzmiatryk]

Добрый день!После выполнения скрипта АВЗ не могу зайти в систему,пароль для входа не подходит.

- - - Добавлено - - -

Нет,извиняюсь,это у меня лыжи не едут)))

- - - Добавлено - - -

Вроде все сделал!

[regist]

Movies Toolbar, Media Get, Mobogenie - посмотрите если есть в списке установленных программ деинсталируйте. Затем

- Удалите в AdwCleaner всё кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё).

[Dzmiatryk]

Спс,больше ничего не вылазит!А что делать с "зашифрованными" файлами?

[thyrex]

Без оригинального дешифратора не обойтись

[Dzmiatryk]

Были ли у вас такие случаи что люди отправляли денежку и получали дешифратор?
И можно ли получить уведомление если у вас появится дешифратор?
Огромное всем спасибо!
Пы.Сы.А что происходит когда заканчивается время на таймере этого окна)?

[thyrex]

И можно ли получить уведомление если у вас появится дешифратор?

Дешифратор может и появится, но уникальный ключ шифрования персонально для Вашего компьютера не появится никогда

Были ли у вас такие случаи что люди отправляли денежку и получали дешифратор?

Были, все зависит только от порядочности самих злодеев

А что происходит когда заканчивается время на таймере этого окна)?

Это мне неизвестно

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 9
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\movies toolbar\datamngr\apcrtldr.dll - not-a-virus:WebToolbar.Win64.SearchSuite.d ( AVAST4: Win32:Malware-gen )
  2. c:\program files (x86)\movies toolbar\datamngr\x64\apcrtldr.dll - not-a-virus:WebToolbar.Win64.SearchSuite.d
  3. c:\program files (x86)\movies toolbar\datamngr\x64\setmgrc2.cfg - not-a-virus:WebToolbar.Win64.SearchSuite.c
  4. c:\progra~3\mskmzos.exe - Trojan.Win32.Inject.oaxm ( BitDefender: Gen:Variant.Symmi.43312, AVAST4: Win32:Malware-gen )
  5. c:\users\deab~1\appdata\local\temp\kb03142234.exe - Trojan.Win32.Spamer.ho ( BitDefender: Trojan.GenericKD.1753518, AVAST4: Win32:Dropper-gen [Drp] )
  6. c:\users\deab~1\appdata\local\temp\xxrdxjj.exe - Trojan-Ransom.Win32.Onion.d ( BitDefender: Trojan.GenericKD.1751060, AVAST4: Win32:Dropper-gen [Drp] )
  7. c:\users\петя\appdata\local\temp\kb03142234.exe - Trojan.Win32.Spamer.ho ( BitDefender: Trojan.GenericKD.1753518, AVAST4: Win32:Dropper-gen [Drp] )