Банер-кодировщик

[sandkey]

Доброго времени. Принесли комп с этим. Файлы закодированы. Посмотрите плиз.

Логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

Послание от виря

KOD_RAZBLOKIROVKI.txt 

Кодированный jpg, pass virus

0_617be_3e2b0c55_XL.jpg.zip

Дополнительно. Флешка на которой делаются логи, в корзине появляется файл, на который КИС говорит неизвестная угроза.

 

Отослал файл с флешки в ВирЛаб, ответ:

В присланном Вами файле обнаружено новое вредоносное программное обеспечение - Trojan-Dropper.Win32.Dorifel.aiut. 
Его детектирование будет включено в очередное обновление антивирусных баз.

Изменено 24 января, 2014 пользователем sandkey

[mike 1]

Здравствуйте!

 

Закройте все программы

 

Отключите

- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\users\223\appdata\roaming\lw_mc\service.exe');
 TerminateProcessByName('c:\users\223\appdata\roaming\lqm0f.exe');
 TerminateProcessByName('c:\users\223\appdata\local\nvidia corporation\update\daemonupd.exe');
 QuarantineFile('C:\Users\223\ffooazma.exe','');
 QuarantineFile('C:\Users\223\AppData\Local\Microsoft\Windows\winupdate.exe','');
 QuarantineFile('C:\Users\223\AppData\Local\Google\Update\gupdate.exe','');
 QuarantineFile('C:\Users\223\AppData\Local\binkoer.dll','');
 QuarantineFile('c:\users\223\appdata\roaming\lw_mc\service.exe','');
 QuarantineFile('c:\users\223\appdata\roaming\lqm0f.exe','');
 QuarantineFile('c:\users\223\appdata\local\nvidia corporation\update\daemonupd.exe','');
 DeleteFile('C:\Users\223\AppData\Roaming\LW_MC\service.exe','32');
 DeleteFile('C:\Users\223\AppData\Roaming\lQM0f.exe','32');
 DeleteFile('C:\Users\223\ffooazma.exe','32');
 DeleteFile('c:\users\223\appdata\local\binkoer.dll','32');
 DeleteFile('C:\Users\223\appdata\local\google\update\gupdate.exe','32');
 DeleteFile('C:\Users\223\appdata\local\microsoft\windows\winupdate.exe','32');
 DeleteFile('C:\Users\223\appdata\local\nvidia corporation\update\daemonupd.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Google Update');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NvUpdService');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','binkoer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LW_MC32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RedSHDrv');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');       
 RegKeyParamDel('HKCU', 'S-1-5-21-629981667-3912533090-3036842672-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'AutoConfigURL');  
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'AutoConfigURL');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(10);    
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = https://comcuerra.com/that/addpic.creo
O4 - HKCU\..\Run: [binkoer] rundll32 "C:\Users\223\AppData\Local\binkoer.dll",binkoer
O4 - HKCU\..\Run: [MSConfig] "C:\Users\223\ffooazma.exe"
O4 - HKCU\..\Run: [NvUpdService] C:\Users\223\AppData\Local\NVIDIA Corporation\Update\daemonupd.exe /app 069F4D8082BE3215960A394C14529F59
O4 - HKCU\..\Run: [Google Update] C:\Users\223\AppData\Local\Google\Update\gupdate.exe /app 069F4D8082BE3215960A394C14529F59
O4 - HKCU\..\Run: [LW_MC32] C:\Users\223\AppData\Roaming\LW_MC\service.exe
O4 - HKCU\..\Run: [RedSHDrv] "C:\Users\223\AppData\Roaming\lQM0f.exe"
O4 - Startup: winupdate.lnk = C:\Users\223\AppData\Local\Microsoft\Windows\winupdate.exe

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

Изменено 24 января, 2014 пользователем mike 1

[sandkey]

Доброго времени.

 

- Файрвол - отключил

- Скрипт АВЗ - выполнил

 

- quarantine.zip - отправил

KLAN-1365986682

binkoer.dll,

lqm0f.exe,

service.exe

ffooazma.exe

These files are in process.

daemonupd.exe,

gupdate.exe,

winupdate.exe - Trojan.Win32.Agentb.anux

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

 

- HiJackThis - пофиксил

в наличии были:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = https://comcuerra.com/that/addpic.creo

O4 - HKCU\..\Run: [MSConfig] "C:\Users\223\ffooazma.exe"

 

MBAM-log-2014-01-25 (10-30-18).txt

AdwCleanerR0.txt

 

[thyrex]

Удалите в МВАМ все, кроме

C:\Users\223\Downloads\beregi_lyubov.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
C:\Users\223\Downloads\krik_moey_dushi_feat.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
C:\Users\223\Downloads\the_sims_2__kollekciya_17_v_1__softclub____ea_games___rus___p__id698484id.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.

[sandkey]

 

Удалите в МВАМ все, кроме

C:\Users\223\Downloads\beregi_lyubov.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
C:\Users\223\Downloads\krik_moey_dushi_feat.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
C:\Users\223\Downloads\the_sims_2__kollekciya_17_v_1__softclub____ea_games___rus___p__id698484id.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.

mbam-log-2014-01-25 (11-33-44).txt

[mike 1]

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan".
  

• По окончанию сканирования снимите галочки со следующих строк:
  

Key Found : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\ICQ\ICQToolBar

Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}

Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}

Key Found : HKLM\SOFTWARE\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}

Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}

• Нажмите кнопку "Clean" и дождитесь окончания удаления.
  

• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  

• Прикрепите отчет к своему следующему сообщению
  

Внимание: Для успешного удаления нужна перезагрузка компьютера!.

 

Подробнее читайте в этом руководстве.

 

Сделайте новые логи по правилам раздела. 

[sandkey]

• Прикрепите отчет к своему следующему сообщению

AdwCleanerS0.txt

[mike 1]

Новые логи AVZ и RSIT прикрепите. 

[sandkey]

Новые логи AVZ и RSIT прикрепите. 

Доброго времени.

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[mike 1]

Закройте все программы

 

Отключите

- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

 

begin
 ExecuteAVUpdate;    
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\multibar.exe');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Tabs.lnk');   
 DeleteService('TicnoIndexator');
ExecuteSysClean;  
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера.

 

Уточните что находится в этих папках?

 

C:\SwSetup

C:\8cfb484389de7e6b5cd173dcac

 

 

Сделайте новые логи RSIT.

[sandkey]

Уточните что находится в этих папках?

 

C:\SwSetup

C:\8cfb484389de7e6b5cd173dcac

 

Сделайте новые логи RSIT.

 

В папках лежат драйвера от бука, и инсталяшки от майкрософа

info.txt

log.txt

[mike 1]

Эти ключи в реестре удалите:

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\multibar.exe] - ключ
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Tabs.lnk] - параметр

В остальном порядок. Файлы я думаю расшифровать без оригинального дешифратора не получится.  

[sandkey]

Эти ключи в реестре удалите:

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\multibar.exe] - ключ
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Tabs.lnk] - параметр

В остальном порядок. Файлы я думаю расшифровать без оригинального дешифратора не получится.  

Это понятно,

[sandkey]

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

New malicious software was found in the attached file.

binkoer.dll - Trojan-Proxy.Win32.Agent.gnu

Its detection will be included in the next update.

 

These files are already detected.

service.exe_ - Worm.Win32.Ngrbot.ykm

ffooazma.exe_ - Trojan-Dropper.Win32.Dorifel.aihn

winupdate.exe_ - Trojan.Win32.Agentb.anux

lqm0f.exe_ - Trojan-Ransom.Win32.Blocker.dmkp

Please update your bases