Шифровальщик Omerta четвертый компьютер

[vlad_1976]

Здравствуйте!
Высылаю отчет еще по одному компьютеру зашифрованному omerta.

[Info_bot]

Уважаемый(ая) vlad_1976, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

HiJackThis (из каталога autologger)профиксить

Код:

O21 - HKLM\..\ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Lenovo\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe','');
BC_ImportQuarantineList;
BC_Activate;
 ExecuteRepair(1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

[vlad_1976]

Файл сохранён как 180919_080608_quarantine_5ba20370c3f44.zip
Размер файла 3203993
MD5 38d78529f4d100b4c6120f7759869cb4

Попробую удаленно сделать лог FRST

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[vlad_1976]

Отчеты FRST + отчет adwcleaner

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  ShellExecuteHooks-x32: No Name - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} -  -> No File
  FF HKLM-x32\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found
  FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\Program Files\MICROS~2\Office14\NPAUTHZ.DLL [No File]
  CHR HKLM-x32\...\Chrome\Extension: [jbfmkijbdfgfaiccakeaiinogojfkkcj] - C:\Users\Lenovo\AppData\Local\Google\Chrome\Application\Plugins\extension_0_1_0_4.crx <not found>
  File: C:\Users\Lenovo\Downloads\nk16vfps.exe
  File: C:\Users\Lenovo\AppData\Local\Temp\oct9941.tmp.exe
  2018-09-18 17:53 - 2018-09-18 17:53 - 018541888 _____ (SweetLabs,Inc.) C:\Users\Lenovo\AppData\Local\Temp\oct9941.tmp.exe
  CustomCLSID: HKU\S-1-5-21-3693933385-2670385383-3001887606-1001_Classes\CLSID\{6D7AE628-FF41-4CD3-91DD-34825BB1A251}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2012 - Russian\acad.exe /Automation => No File
  CustomCLSID: HKU\S-1-5-21-3693933385-2670385383-3001887606-1001_Classes\CLSID\{B77E471C-FBF3-4CB5-880F-D7528AD4B349}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2012 - Russian\acad.exe /Automation => No File
  CustomCLSID: HKU\S-1-5-21-3693933385-2670385383-3001887606-1001_Classes\CLSID\{C92FB640-AD4D-498A-9979-A51A2540C977}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2012 - Russian\acad.exe /Automation => No File
  CustomCLSID: HKU\S-1-5-21-3693933385-2670385383-3001887606-1001_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2012 - Russian\acad.exe => No File
  CustomCLSID: HKU\S-1-5-21-3693933385-2670385383-3001887606-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2012 - Russian\acadficn.dll => No File
  CustomCLSID: HKU\S-1-5-21-3693933385-2670385383-3001887606-1001_Classes\CLSID\{E36606FE-036A-4dd0-ABA9-A58F409803F0}\InprocServer32 -> no filepath
  ShellIconOverlayIdentifiers: [Обработчик значков цифровых подписей AutoCAD] -> {36A21736-36C2-4C11-8ACB-D4136F2B57BD} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 1 (GFS Unread Stub)] -> {99FD978C-D287-4F50-827F-B2C658EDA8E7} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2 (GFS Stub)] -> {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)] -> {920E6DB1-9907-4370-B3A0-BAFC03D81399} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 3 (GFS Folder)] -> {16F3DD56-1AF5-4347-846D-7C10C4192619} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 4 (GFS Unread Mark)] -> {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} =>  -> No File
  ContextMenuHandlers1-x32: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} => C:\Program Files\MICROS~2\Office14\GROOVEEX.DLL -> No File
  ContextMenuHandlers3: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} => C:\Program Files\MICROS~2\Office14\GROOVEEX.DLL -> No File
  ContextMenuHandlers4: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} => C:\Program Files\MICROS~2\Office14\GROOVEEX.DLL -> No File
  ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
  ContextMenuHandlers5: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} => C:\Program Files\MICROS~2\Office14\GROOVEEX.DLL -> No File
  ContextMenuHandlers6-x32: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} => C:\Program Files\MICROS~2\Office14\GROOVEEX.DLL -> No File
  Task: {26814248-7314-48B1-9379-A60887D39619} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
  Task: {7EE934A6-169F-4DCB-95F6-43475315261E} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
  HKU\S-1-5-21-3693933385-2670385383-3001887606-1001\Software\Classes\.scr: scrfile =>  <==== ATTENTION
  File: C:\windows\microsoft.net\framework\v2.0.50727\vbc.exe
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[vlad_1976]

Отчет fixlog

[SQ]

Согласно логам не похоже на источник. Так как нет как минимум файлов злоумышлинников на рабочем столе.

[vlad_1976]

Ясно. Спасибо.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены