Шифровальщик [Trojan.MSIL.Agent.liy ]

[Teogen]

Доброго времени суток, получили письмо с проверкой налог. отчетности, теперь зашифрованы файлы word-a и exel-я. Заранее спасибо. Прикрепляю зашифрованные файлы. Фалы с расширением .vault

[Info_bot]

Уважаемый(ая) Teogen, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 QuarantineFile('C:\Program Files\fcs.exe','');
 QuarantineFile('C:\Temp\sys','');
 QuarantineFile('C:\Documents and Settings\Башмашникова.SFS\viqigwazijul.exe','');
 QuarantineFile('C:\Documents and Settings\Башмашникова.SFS\manajanorma.exe','');
 QuarantineFile('C:\Documents and Settings\Башмашникова.SFS\Application Data\Ukam\cyex.exe','');
 QuarantineFile('C:\Documents and Settings\Башмашникова.SFS\Application Data\Nevosoft.Games\drm.exe','');
 QuarantineFile('C:\Documents and Settings\Башмашникова.SFS\Application Data\Doeq\huarvur.exe','');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\msnznt.exe','');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\msied.exe','');
 DeleteService('BDSGRTP');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.602\BaiduProtect.exe','32');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\msied.exe','32');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\msnznt.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','344121009');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','615575176');
 DeleteFile('C:\Documents and Settings\Башмашникова.SFS\Application Data\Doeq\huarvur.exe','32');
 DeleteFile('C:\Documents and Settings\Башмашникова.SFS\Application Data\Nevosoft.Games\drm.exe','32');
 DeleteFile('C:\Documents and Settings\Башмашникова.SFS\Application Data\Ukam\cyex.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Cyex','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\drm.exe','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{44B5340F-D7F0-CA33-8758-AAD337DDEE16}','command');
 DeleteFile('C:\Documents and Settings\Башмашникова.SFS\manajanorma.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\manajanorma','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\viqigwazijul','command');
 DeleteFile('C:\Documents and Settings\Башмашникова.SFS\viqigwazijul.exe','32');
 DeleteFile('C:\Temp\sys','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\slihost.exe','command');
 DeleteFile('C:\WINDOWS\Tasks\DealPlyUpdate.job','32');
 DeleteFile('C:\Program Files\fcs.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Teogen]

Запрошенные файлы

[mike 1]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Teogen]

Сделано

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Teogen]

subj

[mike 1]

Platform: Microsoft Windows XP Professional Service Pack 2 (X86) OS Language: Русский
Internet Explorer Version 6 (Default browser: Chrome)

Система дырявая как решето и установленный антивирус с такой дырявой системой вас не спасет.


Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP прекращена

Установите SP3 (может потребоваться активация) + все новые обновления для Windows

Установите Internet Explorer 8 (даже если им не пользуетесь)


ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
  AutoConfigURL: [HKLM] => http://ertaco.com/cols/accepted2.ruo
  AutoConfigURL: [S-1-5-21-1126026615-2368042048-2318365495-500] => http://ertaco.com/cols/accepted2.ruo
  BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
  Toolbar: HKLM - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
  Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  Toolbar: HKU\.DEFAULT -> No Name - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} -  No File
  Toolbar: HKU\.DEFAULT -> Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
  Toolbar: HKU\.DEFAULT -> No Name - {899CAC9D-533D-45C2-8A07-AFB42425B544} -  No File
  CHR HKLM\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - http://clients2.google.com/service/update2/crx
  S1 BDEnhanceBoost; system32\DRIVERS\BDEnhanceBoost.sys [X]
  2015-06-24 10:07 - 2013-08-19 12:44 - 00000000 ____D C:\Documents and Settings\Башмашникова.SFS\Application Data\Iqhid
  2015-06-24 10:06 - 2014-12-16 08:54 - 00000000 ____D C:\Documents and Settings\Башмашникова.SFS\Application Data\Browsers
  2015-06-24 10:06 - 2013-08-14 07:48 - 00000000 ____D C:\Documents and Settings\Башмашникова.SFS\Application Data\Ufmo
  2015-06-24 10:06 - 2013-08-07 16:19 - 00000000 ____D C:\Documents and Settings\Башмашникова.SFS\Application Data\Pini
  Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\1E94~1.SFS\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
  Task: C:\WINDOWS\Tasks\At2.job => C:\DOCUME~1\1E94~1.SFS\APPLIC~1\DealPly\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
  Task: C:\WINDOWS\Tasks\At3.job => C:\DOCUME~1\NETWOR~1\APPLIC~1\DealPly\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
  AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:183A9046
  AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:B4258C5D
  AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:ED2D63E4
  AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:FB4262DE
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Cyex]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\drm.exe]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\manajanorma]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\slihost.exe]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\viqigwazijul]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{44B5340F-D7F0-CA33-8758-AAD337DDEE16}]
  DomainProfile\AuthorizedApplications: [C:\Documents and Settings\Башмашникова.SFS\Local Settings\Temp\~nsu.tmp\Au_.exe] => Enabled:百度杀毒卸载程序
  DomainProfile\AuthorizedApplications: [C:\Documents and Settings\Башмашникова.SFS\Local Settings\Temp\pcitb_70856.exe] => Enabled:百度卫士在线安装程序

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Teogen]

Да, система ужас, я ток пару недель как пришел на эту работу и пока с серверами пытаюсь справиться.
Это поможет только для данной машины? Есть еще с зашифрованными файлами, успел зараза в сеть попасть. Как расшифровать на других машинах и как купить у Вас поддержку, через paypal чет не идет?

[mike 1]

Это поможет только для данной машины? Есть еще с зашифрованными файлами, успел зараза в сеть попасть.

А неудивительно. Эксплойт такая штука, которая как раз хорошо работает на таких вот дырявых системах. С расшифровкой не поможем. Смените все пароли. Логи в порядке.

[Teogen]

Спасибо!!! Можете дать совет, как их расшифровать? Может подождать пока расшифровщик сделают?

[mike 1]

В данном случае я думаю смогут помочь только злодеи.

[Teogen]

Почему то я так и думал

- - - - -Добавлено - - - - -

ТО есть, найти ключ расшифровки и расшифровать своими силами, затея глупая?

- - - - -Добавлено - - - - -

Еще вопрос, а как выйти теперь на злодеев? ))

[mike 1]

ТО есть, найти ключ расшифровки и расшифровать своими силами, затея глупая?

А там стойкая криптография используется. Кстати, еще напишу кое-что, если Вы не сможете найти файл VAULT.KEY, то файлы не смогут расшифровать и злодеи.

Связь с злодеями через этот httр://restoredz4xpmuqr.onion сайт. Сайт нужно открывать через Tor.

[Teogen]

Огромнейшее спасибо за помощь

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files\fcs.exe - Trojan.MSIL.Agent.liy ( BitDefender: Trojan.Generic.KDV.396572 )