Win32/Kryptik.FVCJ или Win32/Injector.DQJC испортил файлы [not-a-virus:WebToolbar.Win32.Agent.bgn, not-a-virus:AdWare.Win32.Agent.guuy ]

[faceoff]

Добрый день. Прошу Вашей помощи. Второго числа пользователи начали жаловаться на файлы в общих папках. Файлы оказались скрытыми, вместо них были ярлыки. И в каждой папке файл README.HTL.
Логи того, кто заразился, я так понял через почту, привожу ниже. После того как файлы сделали доступными, а ярлыки и вирусы покосили руками, пробовали открыть файлы в папках с общим доступом.
Эти файлы не зашифровались, но испортились (. Самои интересное что NOD видел угрозу и изолировал, но каким образом он попал дальше по всем шарам, не понятно. Как распростроняется не понятно.
Пострадали только папки с общим доступом на клиентских пк . И ещё на серверных файлопомойках был так же вирус (скрытые папки+ярлыки), НО там (слава Богу) не попортились. На серверах были ярлыки
владельцом которых являлся пользователь (***) ниже в логе.
В итоге пострадало порядка 30 пк с шарами. Некотовые уже снесены налого. В том числе предполагаемый зачинщик. Вчера - сегодня в горячке поснимали все шары.
По этому конкретно зловреду (именно этой модификации FVCJ) инфы толком нет. Хотелось бы найти лекарство по удалению и на перспективу. Поднят всус и актуальные базы антивиря. Права администратора лишь у
некоторых пользователей. И самое главное хотелось бы восстановить испорченые документы. Заранее благодарю.


Дата получения 2017-08-02 13:55:32
Дата первого обнаружения 2017-08-02 13:49:13
Дата последнего обнаружения 2017-08-02 15:59:45
Имя объекта Оперативная память = C:\Users\***\AppData\Local\Temp\radACA28.exe, C:\Users\N.Sharapova\AppData\Local\Microsoft\Windo ws\Temporary Internet Files\Content.Outlook\SOUQERN6\eGUiKSAmJi.exe
Имя файла radACA28.exe, eGUiKSAmJi.exe
Расширение exe
Размер файла 200192
Причина модифицированный Win32/Kryptik.FVCJ троянская программа
Число клиентов 1
Обращения 2
Файл Нет данных


Дата получения 2017-08-02 13:55:32
Дата события 2017-08-02 13:49:16
Уровень Предупреждение
Модуль сканирования Модуль сканирования файлов, исполняемых при запуск
Объект файл
Имя Оперативная память = C:\Users\***\AppData\Local\Temp\radACA28.exe
Угроза модифицированный Win32/Kryptik.FVCJ троянская программа
Действие очищен удалением


Дата получения 2017-08-02 15:45:34
Дата события 2017-08-02 15:38:17
Уровень Предупреждение
Модуль сканирования Фильтр POP3
Объект сообщение электронной почты
Имя от: "Miss Shirley Mui" <[email protected]> кому: me <[email protected]> тема RE: AUGUST ORDER дата Wed, 02 Aug 2017 13:13:40 +0100 = MME = ORD0011772125.ace
Угроза модифицированный Win32/Injector.DQJC троянская программа
Действие удален
Информация Обнаружена угроза при получении электронной почты следующим приложением: C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE (3196D76C9F43213D1C3F6464A0B395C76C3E9CC1).

[Info_bot]

Уважаемый(ая) faceoff, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[faceoff]

в попыхах не прикрепил лог прошу прощения

[thyrex]

Ну Вы хотя бы прикрепили в архиве к сообщению пример зашифрованного файла и файл с сообщением вымогателей что-ли. А так только поток мыслей и не более.

[faceoff]

здесь сам троян, ярлык (с ключём exe) и покалеченный им документ

[thyrex]

Это Spora. C расшифровкой помочь не сможем. Будет только зачистка мусора.

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','');
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 DelBHO('{7CE987D5-11B3-44FC-9C3D-03069360D462}');
 DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
 DelBHO('{1FE48F08-A2AC-44AC-A21C-0556D91C50DA}');
 QuarantineFile('C:\Program Files (x86)\SupTab\SupTab.dll','');
 QuarantineFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','');
 QuarantineFile('C:\Program Files (x86)\advPlugin\Interfaces32.dll','');
 TerminateProcessByName('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe');
 QuarantineFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe','');
 TerminateProcessByName('c:\program files (x86)\advplugin\backgroundsingleton.exe');
 QuarantineFile('c:\program files (x86)\advplugin\backgroundsingleton.exe','');
 DeleteFile('c:\program files (x86)\advplugin\backgroundsingleton.exe','32');
 DeleteFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe','32');
 DeleteFile('C:\Program Files (x86)\advPlugin\Interfaces32.dll','32');
 DeleteFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','32');
 DeleteFile('C:\Program Files (x86)\SupTab\SupTab.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xmyojhrvdd','command');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\KRBUUS\KRB Updater Utility Service','64');
 DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[faceoff]

Спасибо. А что остальными делать пк ? Как он распространяется ? Есть ли универсальный скрипт для очистки остальных пк ? Или сносить всё ??

- - - - -Добавлено - - - - -

Не помогло ((

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[faceoff]

Благодарю за внимание. Данные логи выслать не могу. Скажите просто как распространяется и как избежать на перспективу ?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\advplugin\backgroundsingleton.exe - not-a-virus:WebToolbar.Win32.Agent.bqg ( DrWEB: Adware.Downware.11017 )
  2. c:\program files (x86)\advplugin\basement\extensionupdaterservice.e xe - not-a-virus:WebToolbar.Win32.Agent.bqg
  3. c:\program files (x86)\advplugin\interfaces32.dll - not-a-virus:WebToolbar.Win32.Agent.bsf
  4. c:\program files (x86)\advplugin\toolbar32.dll - not-a-virus:WebToolbar.Win32.Agent.bgn ( DrWEB: Adware.Downware.10995 )
  5. c:\program files (x86)\suptab\suptab.dll - not-a-virus:AdWare.Win32.Agent.guuy ( DrWEB: Trojan.Click3.8536, BitDefender: Adware.Agent.OFO, AVAST4: Win32:SupTab-G [Adw] )