Вирус в письме якобы от Арбитражного суда защифровал файлы [Trojan-Dropper.Win32.Dapato.dfkd ]

[uji2000]

Помогите пожалуйста с лечением компа. Открыли "подробности" в письме и через некоторое время вылезла заставка что вваши файлы смертельно заражены и что можно спасти их написав в ZOG почту. Естественно вымогают деньги. Файлы эксел, ворд, пдф, жпег и наверно и прочие не открываются. Не запущенный вирус сахранен, представляет собой архив с названием Attachment. Симантек не среагировал на вирус. Проверку компа сделал с помощю утилиты Currelt. Ссылки на принтскрин экрана и лог от Currelt: http://files.mail.ru/C5E7D5E15D304895B2A03C9865FECBA6
http://files.mail.ru/B4BC8E5CBDAA44CEAC73C7AB574F4695

[Info_bot]

Уважаемый(ая) uji2000, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Uji2000\appdata\roaming\digita~1\update~1\update~1.exe','');
 QuarantineFile('C:\Users\Uji2000\appdata\roaming\closer.exe','');
 QuarantineFile('C:\~WinTemp\3f962.exe','');
 QuarantineFile('C:\Users\Uji2000\LOCALS~1\Temp\msyrsuq.com','');
 QuarantineFile('C:\Users\Uji2000\AppData\Local\winrar.exe','');
 DeleteFile('C:\Users\Uji2000\AppData\Local\winrar.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','winrar');
 DeleteFile('C:\Users\Uji2000\LOCALS~1\Temp\msyrsuq.com','32');
 DeleteFile('C:\~WinTemp\3f962.exe','32');
 DeleteFile('C:\Windows\Tasks\7884817.job','64');
 DeleteFile('C:\Windows\Tasks\DigitalSite.job','64');
 DeleteFile('C:\Users\Uji2000\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\system32\Tasks\7884817','64');
 DeleteFile('C:\Windows\system32\Tasks\DigitalSite','64');
 DeleteFile('C:\Users\Uji2000\appdata\roaming\closer.exe','32');
 DeleteFile('C:\Users\Uji2000\appdata\roaming\digita~1\update~1\update~1.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите в HiJack

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = /sandeta.com/themes/sde.exg
F3 - REG:win.ini: load=C:\Users\Uji2000\LOCALS~1\Temp\msyrsuq.com
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe
O2 - BHO: TrueSuite WebStore - {5cb2b77d-c8ca-44db-af20-a7a4df462a12} - mscoree.dll (file missing)

Сделайте новые логи

[uji2000]

Выполнил, новые логи прилогаю. А что с экранной заставкой от этих гадов? Как ее убрать? И есть возможность расшифровать файлы?

[thyrex]

Сделайте лог ComboFix

[uji2000]

Сделал.

- - - Добавлено - - -

Да , есть еше проблемка, при запуске компа, или после пробуждения после сна, когда запускаешь интернетэксплорер, открывается дополнительное окно с рекламой разных сайтов. Как бы помочь с этим?

[thyrex]

c:\users\Uji2000\AppData\Roaming\smwdgt удалите
Что с баннерами после перезагррузки?

[uji2000]

Не могу найти этот путь. Принт скрин прилагаю: Тотал командер не показывает папку app, также на нем виден отчет Симантека из которого видно, что в компе есть еще троян и его он удалить не может.

[uji2000]

После очередной проверки AVZ, Симантеком и после выполнения Ваших рекомендаций почти все нормализовалось. Симантек каждый раз при сканировании системы удалет какойто куки. Принтскрин прилагаю. И остается вопрос расшифровки файлов. С этим можете как то помочь?

[thyrex]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С

Код:

KillAll::

File::

Folder::
c:\users\Uji2000\AppData\Roaming\smwdgt

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

И остается вопрос расшифровки файлов. С этим можете как то помочь?

Дешифратором пока никто не поделился

[uji2000]

При перносе CFScript.txt на пиктограмму ComboFix.exe. , последний стал обнавляться и после всего вроде выдал отчет.Прилагаю его.
Еще вопрос, в c:\Program Files (x86)\Информационные Решения\Справочная информация!\ находятся 3 файла. (Принтскрин Тоталкомандера прилагаю) которые Симантек пропускает , но при проверке через сайт www.virustotal.com 2 из них опазнаются как вирусы. Как это понимать и что порекомендуете? Кстати, Симантек продолжает каждый раз при запуске ноута убивать один и тот же куки, про который уже спрашивал выше.

[thyrex]

Удалите эту папку полностью и приступайте к смене паролей

[uji2000]

Удалил. Можно надеяться , что ноут теперь чистый? И можно уточнить, пароли на все (почту, 1с, банк-клиент, интернет-ресурсы) или на вход в ноут? На форумах пишут, что у Др Вэба вроде есть утилита частично могущая восстановить файлы, нет информации по ней или по появлению дешифратора? Заранее спасибо за ответ.

[thyrex]

Пароли на все

Какое ключевое слово просят сообщить?

[uji2000]

[email protected] ключевое слово 333. Опять при включениии ноута симантек обнаружил угрозу , но не может удалить ее . принт скрин прилагаю.

[thyrex]

Дешифратором пока никто не поделиллся

[uji2000]

С дешифратором все понятно. Получил Др. Вэбовскую утилиту te102decrypt, помогла частично , некоторые файлы восстановила. Но то что нужно, увы. Похоже придется выкупать дешифратор. Помогите разобраться со следующим, каждый день Симантек находит кучу троянов которые удаляет (принтскрин прилагаю) и 1 с которым ничего не может сделать( по нему принтскрин присылал раньше). Это означает, что есть в системе какая то проблема. Как бороться? Спасибо за уже оказанную помощь.

[thyrex]

С этим к разработчику своего антивируса. Пусть объяснит его паранойю

[uji2000]

Спасибо за помощь, попробую поменять антивирус

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\uji2000\appdata\local\winrar.exe - Trojan-Dropper.Win32.Dapato.dfkd ( BitDefender: Gen:Variant.Zusy.71849, AVAST4: Win32:Malware-gen )