Помогите избавиться от GandCrab.AG и Trojan:Vigorf.A

**Sprng** · 08.06.2018, 10:43

Начну с самого начала.
На ночь компьютер не выключал, утром включил и через некоторое время процесс exlplorer.exe завершился сам по себе и антивирус Microsoft Security Essentials уведомил о том что обнаружил какие то файлы/вирусы. Начал смотреть, им оказался Vigorf.A, путь где он находился (C:\Users\Валентин\AppData\Local\Temp\(случайное кол-во цифр)/app.exe. Естественно по этому пути exe никакого не было.
1) Попробовал удалить обнаруженное антивирусом, но спустя некоторое время(мин 20 где то) повторяется все тоже самое завершается explorer.exe антивирус снова обнаруживает тоже самое.
2) Сделал восстановление системы, сразу скажу, что единственная точка восстановления которая была, это на день назад. После перезапуска все тоже самое повторилось что и в п.1, но при этом заметил, что Google Chrome перестал открываться(даже в диспетчере задач процесс не появлялся). Также заметил процесс COM Surrogate в диспетчере задач, сначала подумал что это тот самый вирус, но этот процесс располагался в папке с windows, так что трогать его не стал.
3) Где то на сайте увидел решение этого вируса путем сброса настроек в Internet Explorer, сбросил
Теперь вирус делает все тоже самое что и в п.1 только называется он Ransom:Win32/GandCrab.AG и располагается в file:C:\Users\754C~1\AppData\Local\Temp\614832866\ app.exefile:C:\Users\Валентин\AppData\Local\Temp\1 35643236\app.exe
754С-1 папки вообще нету

Единственное что вспомнил, откуда мог взяться вирус, пользовался сайтом он помогал понять подходит компьютер под минимальные требования для той или иной игры или нет, для этого нужно было скачать файл который проверял компьютер(тем самым он узнавал видеокарту, процессор и т.п.), но пользовался я этим сайтом уж точно больше года и никогда такого не было.

Сразу извиняюсь, если много не нужно информации, надеюсь на вашу помощь!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 08.06.2018, 10:44

Уважаемый(ая) Sprng, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 11.06.2018, 03:07

HiJackThis (из каталога autologger)профиксить

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://www.sweet-page.com/web/?type=ds&ts=1394611631&from=cor&uid=WDCXWD5001AALS-00L3B2_WD-WMASY630976009760&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://webalta.ru/search
R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command: (default) = C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.delta-homes.com/?type=sc&ts=1402560681&from=wpm0612&uid=WDCXWD5001AALS-00L3B2_WD-WMASY630976009760
O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - HKU\.DEFAULT\..\Run: [genesis_11100823] = c:\windows\syswow64\config\systemprofile\appdata\local\genesis_11100823\genesis_11100823.exe /r
O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no name) - (no file)
O22 - Task (Job): BXMKRZW.job - C:\Users\��������\AppData\Roaming\BXMKRZW.exe /infocmdline=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
O22 - Task (Job): OU.job - C:\Users\��������\AppData\Roaming\OU.exe /infocmdline=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
O22 - Task (Job): PennyBee.job - C:\Users\Валентин\AppData\Roaming\PennyBee\UpdateProc\UPDATE~1.EXE /Check
O22 - Task: PennyBee - C:\Users\754C~1\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE /Check (file missing)
O22 - Task: chrome5 - C:\Program Files (x86)\Microsoft Data\InstallAddons.exe /reinstall=1 /opid=wuid-7a66484d-c195-e14e-950a-890a49af5f41 /[email protected] /partner=3010 /scheme=im3
O22 - Task: chrome5_logon - C:\Program Files (x86)\Microsoft Data\InstallAddons.exe /reinstall=1 /opid=wuid-7a66484d-c195-e14e-950a-890a49af5f41 /[email protected] /partner=3010 /scheme=im3

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Валентин\appdata\roaming\newsi_1\s_inst.exe','');
 QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
 QuarantineFile('C:\Users\754C~1\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('c:\windows\syswow64\config\systemprofile\appdata\local\genesis_11100823\genesis_11100823.exe','');
 QuarantineFile('E:\DriverPack_17.7.4\bin\tools\openhardwaremonitor\OpenHardwareMonitor.sys','');
 QuarantineFile('C:\Windows\system32\drivers\wpnfd_1_10_0_2.sys','');
 DeleteFile('c:\windows\syswow64\config\systemprofile\appdata\local\genesis_11100823\genesis_11100823.exe','32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','genesis_11100823');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','genesis_11100823');
 DeleteFile('C:\Windows\Tasks\BXMKRZW.job','32');
 DeleteFile('C:\Windows\Tasks\OU.job','32');
 DeleteFile('C:\Windows\Tasks\PennyBee.job','32');
 DeleteFile('C:\Users\754C~1\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
 ExecuteFile('schtasks.exe', '/delete /TN "chrome5" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "chrome5_logon" /F', 0, 15000, true); 
 DeleteFile('C:\Users\Валентин\appdata\roaming\newsi_1\s_inst.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

Помогите избавиться от GandCrab.AG и Trojan:Vigorf.A (заявка № 219229)

Опции темы