Поймал вирус шифратор. Добавляет к файлам расширение *.DrWeb [not-a-virus:Downloader.MSIL.Agent.gll ]

[nikosstj]

Поймал такой пакостный вирус.

Имеется текстовый документ во всех папках "КАК РАСШИФРОВАТЬ ФАЙЛЫ":
""Внимание! Все Ваши файлы зашифрованы!Чтобы восстановить свои файлы и получить к ним доступ,
отправьте письмо на почту [email protected] с текстом "Имя пароля расшифровки: Od77rci6".


Дескрипторы от касперского перепробовал - ничего не находит. Еще и дубли файлов появились с нормальным разрешением, но они не рабочие.
Примеры шифрованных файлов тут https://cloud.mail.ru/public/42US/3Sj5jcAdF

Как я понял из описания действий по сбору логов, у меня 64х разрядная винда, и там не нужно было собирать virusinfo_syscure.zip. Если я не правильно понял, скажите - исправлю. Спасибо за понимание.

Надеюсь на вашу помощь.
Заранее Спасибо.

[Info_bot]

Уважаемый(ая) nikosstj, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Kucherenko\AppData\Local\Hostinstaller\976419865_installcube.exe','');
 QuarantineFile('C:\ProgramData\BDuuhGrnGrpJSmu\KPxXWTsa5.bat','');
 QuarantineFile('C:\ProgramData\TWLaocCManuHLSZ\nkzypYXHJmil0.bat','');
 QuarantineFile('C:\Users\Kucherenko\AppData\Roaming\MyDesktop\qweeeCL.exe','');
 QuarantineFile('C:\Users\KUCHER~1\AppData\Local\Temp\959q3yGEB2KD8W3.exe','');
 DeleteFile('C:\Users\KUCHER~1\AppData\Local\Temp\959q3yGEB2KD8W3.exe','32');
 DeleteFile('C:\Users\Kucherenko\AppData\Roaming\MyDesktop\qweeeCL.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MyDesktop','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Alcmeter','command');
 DeleteFile('C:\ProgramData\TWLaocCManuHLSZ\nkzypYXHJmil0.bat','32');
 DeleteFile('C:\ProgramData\BDuuhGrnGrpJSmu\KPxXWTsa5.bat','32');
 DeleteFile('C:\Users\Kucherenko\AppData\Local\Hostinstaller\976419865_installcube.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[nikosstj]

Все сделал. Отправил. Прикрепляю новые логи.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглаше-ния с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запуще-на программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[nikosstj]

Готово

[thyrex]

Сделайте лог CheckBrowsers' Lnk

[nikosstj]

Есть

[thyrex]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке



3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
Task: {314F9BAF-B842-4362-A20E-0276A90B8336} - \Soft installer -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Microsoft:QSU6tPxC8ZwJ7uVg38vH0XAY
AlternateDataStreams: C:\ProgramData\Microsoft:QyTE0a9VyfHWspOUJUJYy
AlternateDataStreams: C:\ProgramData\Microsoft:zOT3aMSe0IYC4izb2JM
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC
AlternateDataStreams: C:\Users\Kucherenko\Cookies:l4Ykhu6tofj7tchC2Ox6he
AlternateDataStreams: C:\Users\Kucherenko\AppData\Local\Temp:8FTtd2zzNrF0ObNyAuckrvNdx6b
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:QSU6tPxC8ZwJ7uVg38vH0XAY
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:QyTE0a9VyfHWspOUJUJYy
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:zOT3aMSe0IYC4izb2JM
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC
HKU\S-1-5-21-1841363222-223714478-284835456-1000\...\Run: [AdobeBridge] => [X]
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
C:\Users\Kucherenko\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\Kucherenko\AppData\Local\Temp\pps-qq-19.exe
C:\Users\Kucherenko\AppData\Local\Temp\qweeeCL.exe
C:\Users\Kucherenko\AppData\Local\Temp\up_date.exe
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[nikosstj]

Есть

[mike 1]

Ответил в ЛС.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\kucherenko\appdata\local\hostinstaller\97 6419865_installcube.exe - not-a-virus:Downloader.MSIL.Agent.gll ( DrWEB: Program.Unwanted.1025 )