Вирус-шифровальщик breaking bad [Trojan-Ransom.Win32.Shade.vp, not-a-virus:Downloader.Win32.MediaGet.emb ]

[Максим Безгодов]

Здравствуйте! Имеются файлы MS office, базы СБИС, 1С и т.д., графические файлы и т.п., переименованные в буквенно-цифровые имена с расширением breaking_bad. Сообщение в тхт файле:
"Ваши файлы были зашифрованы.Чтобы расшифровать их, Вам необходимо отправить код:
0FFE20E3B0768B56D258|0
на электронный адрес [email protected] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."
Чтобы не рисковать, сканирование на вирусы самостоятельно не проводилось. Логи сделал согласно инструкции. Прошу помочь, заранее спасибо.

[Info_bot]

Уважаемый(ая) Максим Безгодов, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

В этой теме http://virusinfo.info/showthread.php?t=193802 другой компьютер?

[Максим Безгодов]

Здравствуйте. Да, это другой компьютер.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\documents and settings\Администратор\local settings\application data\mediaplay\mediaplay.exe','');
 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 TerminateProcessByName('c:\documents and settings\all users\application data\drivers\csrss.exe');
 QuarantineFile('c:\documents and settings\all users\application data\drivers\csrss.exe','');
 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe','');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe','32');
 DeleteFile('c:\documents and settings\all users\application data\drivers\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[Максим Безгодов]

Карантин отправлен, логи прикреплены.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[Максим Безгодов]

Выполнено.

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{0a3f4dfe-fd14-49c7-9d51-748d15a767d2}\InprocServer32 -> C:\Temp\v8_FDB_51.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{122D5FEF-8711-4d87-A5BC-41ED5DF77258}\InprocServer32 -> C:\Temp\v8_CDC_4f.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{13cae5e0-317d-4dc4-9f06-a01ce92c698c}\InprocServer32 -> C:\Temp\v8_1A_4c.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{2F1D9E53-51C5-4BD9-A1ED-C8F4D50E6717}\InprocServer32 -> C:\Documents and Settings\Администратор\Application Data\kwtp.dll => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{32e34c63-2013-4ee9-b4fb-3bf4aa33aa25}\InprocServer32 -> C:\Temp\v8_97B_57.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{37bcb01c-0b25-45b6-8a7e-8e56b77d18ff}\InprocServer32 -> C:\Temp\v8_FDB_51.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{56C2D5F5-0F32-45cb-AD75-87AF17CFDC27}\InprocServer32 -> C:\Temp\v8_CDC_4f.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{57963704-EE80-4bc5-8421-66098E5832AE}\InprocServer32 -> C:\Temp\v8_CDC_4f.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{60940425-4085-4f11-ab34-b9dacd636f4b}\InprocServer32 -> C:\Temp\v8_E3_6b.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{61a955b5-06dc-4371-bae4-c228777d6d87}\InprocServer32 -> C:\Temp\v8_97B_57.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{680849bc-b86d-4669-9219-ad9ac13e4ddc}\InprocServer32 -> C:\Temp\v8_E3_6b.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{68C0D34D-264F-4d64-AEF1-51C728DFDAD8}\InprocServer32 -> C:\Temp\v8_CDC_4f.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{6a8f8752-e2ec-485d-8e46-b2509f668d26}\InprocServer32 -> C:\Temp\v8_AF5_67.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{6b0424b6-7ac3-4521-8b5c-894cdaffd92e}\InprocServer32 -> C:\Temp\v8_1A_4c.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{6da75278-e916-4a18-934f-1d90b2cebabd}\InprocServer32 -> C:\Temp\v8_AF5_67.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{70EF8764-B584-4522-AA9B-D061187C7375}\InprocServer32 -> C:\Documents and Settings\Администратор\Application Data\kwtp.dll => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{7365bebe-ac14-47f3-bff2-252f9ead5c7b}\InprocServer32 -> C:\Temp\v8_FDB_51.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{7446bb6e-5720-405b-8839-464d958a95d5}\InprocServer32 -> C:\Temp\v8_FDB_51.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{7b7c1f93-8199-4da7-88eb-e25a222c7a15}\InprocServer32 -> C:\Temp\v8_E3_6b.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{7baafa79-37ac-411c-88a9-573ae46e3065}\InprocServer32 -> C:\Temp\v8_1A_4c.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{9ee0a337-0726-4400-95e8-77e893ec681c}\InprocServer32 -> C:\Temp\v8_AF5_67.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{a70b6806-f2e5-44a5-abb2-14a63cedf752}\InprocServer32 -> C:\Temp\v8_AF5_67.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{a87602aa-13fc-4d6a-b2e8-e02787e59dad}\InprocServer32 -> C:\Temp\v8_FDB_51.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{acad8a98-286a-420b-9fa3-02c0593917c9}\InprocServer32 -> C:\Temp\v8_E3_6b.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{b524799f-1122-4978-ad75-514c406b08b5}\InprocServer32 -> C:\Temp\v8_97B_57.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{c127373e-5025-4630-a5be-23c4d86ac559}\InprocServer32 -> C:\Temp\v8_E3_6b.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{cdfb4d3f-01e2-4259-b016-fd6ede8b8204}\InprocServer32 -> C:\Temp\v8_1A_4c.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{cfe33012-70f5-428e-bedc-b26bf237e21c}\InprocServer32 -> C:\Temp\v8_97B_57.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{d0b2a3c2-dda6-48d3-8193-a3bb748d6440}\InprocServer32 -> C:\Temp\v8_1A_4c.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{e7727e52-306a-4026-a1f3-0a67008f443d}\InprocServer32 -> C:\Temp\v8_AF5_67.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{F62D2442-FE48-4cbc-9FCA-E19FC839461B}\InprocServer32 -> C:\Temp\v8_CDC_4f.tmp => No File
CustomCLSID: HKU\S-1-5-21-1275210071-602162358-1417001333-500_Classes\CLSID\{fb668c1b-efe4-457c-9923-e0144150e9e1}\InprocServer32 -> C:\Temp\v8_97B_57.tmp => No File
HKLM\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2015-12-09 17:17 - 2015-12-09 17:17 - 03148854 _____ C:\Documents and Settings\Администратор\Application Data\D2B1F1BFD2B1F1BF.bmp
2015-12-09 17:17 - 2015-12-09 17:17 - 00000839 _____ C:\Documents and Settings\Администратор\Рабочий стол\README9.txt
2015-12-09 17:17 - 2015-12-09 17:17 - 00000839 _____ C:\Documents and Settings\Администратор\Рабочий стол\README8.txt
2015-12-09 17:17 - 2015-12-09 17:17 - 00000839 _____ C:\Documents and Settings\Администратор\Рабочий стол\README7.txt
2015-12-09 17:17 - 2015-12-09 17:17 - 00000839 _____ C:\Documents and Settings\Администратор\Рабочий стол\README6.txt
2015-12-09 17:17 - 2015-12-09 17:17 - 00000839 _____ C:\Documents and Settings\Администратор\Рабочий стол\README5.txt
2015-12-09 17:17 - 2015-12-09 17:17 - 00000839 _____ C:\Documents and Settings\Администратор\Рабочий стол\README4.txt
2015-12-09 17:17 - 2015-12-09 17:17 - 00000839 _____ C:\Documents and Settings\Администратор\Рабочий стол\README3.txt
2015-12-09 17:17 - 2015-12-09 17:17 - 00000839 _____ C:\Documents and Settings\Администратор\Рабочий стол\README2.txt
2015-12-09 17:17 - 2015-12-09 17:17 - 00000839 _____ C:\Documents and Settings\Администратор\Рабочий стол\README10.txt
2015-12-09 17:17 - 2015-12-09 17:17 - 00000839 _____ C:\Documents and Settings\Администратор\Рабочий стол\README1.txt
2015-12-09 17:17 - 2015-12-09 17:17 - 00000839 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2015-12-09 17:17 - 2015-12-09 17:17 - 00000839 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2015-12-09 17:17 - 2015-12-09 17:17 - 00000839 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2015-12-09 17:17 - 2015-12-09 17:17 - 00000839 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2015-12-09 17:17 - 2015-12-09 17:17 - 00000839 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2015-12-09 17:17 - 2015-12-09 17:17 - 00000839 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2015-12-09 17:17 - 2015-12-09 17:17 - 00000839 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2015-12-09 17:17 - 2015-12-09 17:17 - 00000839 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2015-12-09 17:17 - 2015-12-09 17:17 - 00000839 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2015-12-09 17:17 - 2015-12-09 17:17 - 00000839 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2015-12-09 16:09 - 2015-12-09 16:09 - 00000839 _____ C:\README9.txt
2015-12-09 16:09 - 2015-12-09 16:09 - 00000839 _____ C:\README8.txt
2015-12-09 16:09 - 2015-12-09 16:09 - 00000839 _____ C:\README7.txt
2015-12-09 16:09 - 2015-12-09 16:09 - 00000839 _____ C:\README6.txt
2015-12-09 16:09 - 2015-12-09 16:09 - 00000839 _____ C:\README5.txt
2015-12-09 16:09 - 2015-12-09 16:09 - 00000839 _____ C:\README4.txt
2015-12-09 16:09 - 2015-12-09 16:09 - 00000839 _____ C:\README3.txt
2015-12-09 16:09 - 2015-12-09 16:09 - 00000839 _____ C:\README2.txt
2015-12-09 16:09 - 2015-12-09 16:09 - 00000839 _____ C:\README10.txt
2015-12-09 16:07 - 2015-12-17 21:32 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Максим Безгодов]

сделано.

[thyrex]

С расшифровкой не поможем

[Максим Безгодов]

Какие в таком случае есть варианты? Есть смысл ждать "лучших времён" или обратиться ещё куда-нить?
Может в скором будущем появится дешифратор?!
Спасибо хоть на этом

[thyrex]

С расшифровкой не могут помочь даже вирлабы

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 9
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\all users\application data\drivers\csrss.exe - Trojan-Ransom.Win32.Shade.vp ( DrWEB: Trojan.DownLoader16.31036, BitDefender: Gen:Trojan.Heur.2mKfX4T81vac, AVAST4: Win32:Malware-gen )
  2. c:\documents and settings\all users\application data\windows\csrss.exe - Trojan-Ransom.Win32.Shade.wc ( DrWEB: Trojan.Encoder.858, AVAST4: Win32:Dropper-gen [Drp] )
  3. c:\documents and settings\администратор\local settings\application data\mediaplay\mediaplay.exe - not-a-virus:Downloader.Win32.MediaGet.emb ( DrWEB: Program.Mediaget.135 )