Шифровальшик backspace@riseup

[Vetal_S]

Здравствуйте,

Собственно говоря, обнаружил свои файлы зашифрованными шифровальшиком - backspace@riseup с требованием денег.
Необходимые логи прилагаю.

Жду Ваших комментариев.

[Info_bot]

Уважаемый(ая) Vetal_S, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Vetal\AppData\Local\Temp\avqnm.exe','');
 QuarantineFile('C:\Users\Vetal\AppData\Local\Microsoft\Windows\winupdate.exe','');
 QuarantineFile('C:\Users\Vetal\AppData\Local\Google\Update\gupdate.exe','');
 TerminateProcessByName('c:\users\vetal\appdata\local\nvidia corporation\update\daemonupd.exe');
 QuarantineFile('c:\users\vetal\appdata\local\nvidia corporation\update\daemonupd.exe','');
 DeleteFile('c:\users\vetal\appdata\local\nvidia corporation\update\daemonupd.exe','32');
 DeleteFile('C:\Users\Vetal\AppData\Local\Google\Update\gupdate.exe','32');
 DeleteFile('C:\Users\Vetal\AppData\Local\Microsoft\Windows\winupdate.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Google Update');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NvUpdService');
 DeleteFile('C:\Users\Vetal\AppData\Local\Temp\avqnm.exe','32');
 DeleteFile('C:\Windows\Tasks\0wfw0.job','32');
 DeleteFile('C:\Windows\system32\Tasks\0wfw0','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Vetal_S]

Добрый день,

Запустил скрипт, поспешил делать логи, не выслав карантин. После создания всех логов запустил скрипт ещё раз для создания крантина, который и загрузил к теме. Не знаю на сколько это важно, но порядок немного нарушил.

[thyrex]

Сделайте лог полного сканирования МВАМ

[Vetal_S]

Лог прилагаю.

[thyrex]

Удалите в МВАМ только указанные ниже записи

Код:

Registry Keys Detected: 5
HKCR\CLSID\{fe5b2d9d-91b0-b04b-ac20-14a260769687} (Adware.ColorSoft) -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\6-Ob-Qig73_ (Adware.Adrotator) -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{416c2185-c94b-bb75-55af-9faafeb3647e} (Adware.Adrotator) -> No action taken.
HKCR\CLSID\{416c2185-c94b-bb75-55af-9faafeb3647e} (Adware.Adrotator) -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{416C2185-C94B-BB75-55AF-9FAAFEB3647E} (Adware.Adrotator) -> No action taken.

Registry Values Detected: 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings|AutoConfigURL (Hijack.Autoconfig) -> Data: https://erterra.com/images/imglist.ebg -> No action taken.

Files Detected: 21
C:\Downloads\Programs\Kracnodap.exe (PUP.SmsPay) -> No action taken.
C:\Users\Vetal\AppData\Local\Temp\00+L6nwt.exe.part (PUP.Optional.4Shared) -> No action taken.
C:\Users\Vetal\AppData\Local\Temp\234.exe (Trojan.Agent.EDNS) -> No action taken.
C:\Users\Vetal\AppData\Local\Temp\f5Xbl83S.exe.part (PUP.Optional.4Shared) -> No action taken.
C:\Users\Vetal\AppData\Local\Temp\312.exe (Trojan.CryptoLocker) -> No action taken.
C:\Users\Vetal\AppData\Local\Temp\325.exe (Trojan.Agent.EDTT) -> No action taken.
C:\Users\Vetal\AppData\Local\Temp\setupv.exe (Adware.Bundle) -> No action taken.
C:\Windows\System32\C-vDDsn-U7B8_.dll (Adware.Adrotator) -> No action taken.

[Vetal_S]

Файлов:
C:\Users\Vetal\AppData\Local\Temp\312.exe (Trojan.CryptoLocker) -> No action taken.
C:\Users\Vetal\AppData\Local\Temp\325.exe (Trojan.Agent.EDTT) -> No action taken.

при повторном сканировании в списке для удаления не оказалось, все остальные удалил, как написали.

Затем, выполнил полную проверку снова, лог прилагаю.

[thyrex]

Порядок

Дешифратором пока никто не поделился

[Vetal_S]

Жёстко. Не ожидал такой развязки. Интересно, ни одних "шифровальщиков" ещё не поймали за одно место?

Я знаю, у Вас много работы, но можно уточнить, чтобы я понимал, чего мы добились на моём компьютере, путём выполненных в этой теме манипуляций? Это было как-то свяано с шифровальшиком?

Да, при перезагрузке у меня автоматически загружается Фотошом, где открывается эта идиотская картинка с требованием денег, с эти можно что-нибудь сделать?

[thyrex]

чего мы добились на моём компьютере, путём выполненных манипуляций, проделанных в этой теме? Это было как-то свяано с шифровальшиком?

Убили спутников шифровальщика

открывается эта идиотская картинка с требованием денег

Пофиксите в HiJack

Код:

O4 - Startup: pic.bmp

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 8
• В ходе лечения вредоносные программы в карантинах не обнаружены