Перейти к содержанию

Банер-кодировщик


Рекомендуемые сообщения

Доброго времени. Принесли комп с этим. Файлы закодированы. Посмотрите плиз.

Логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

Послание от виря

KOD_RAZBLOKIROVKI.txt 

Кодированный jpg, pass virus

0_617be_3e2b0c55_XL.jpg.zip

Дополнительно. Флешка на которой делаются логи, в корзине появляется файл, на который КИС говорит неизвестная угроза.

 

Отослал файл с флешки в ВирЛаб, ответ:

В присланном Вами файле обнаружено новое вредоносное программное обеспечение - Trojan-Dropper.Win32.Dorifel.aiut. 
Его детектирование будет включено в очередное обновление антивирусных баз.

Изменено пользователем sandkey
Ссылка на сообщение
Поделиться на другие сайты
Здравствуйте!
 
Закройте все программы
 
Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\users\223\appdata\roaming\lw_mc\service.exe');
 TerminateProcessByName('c:\users\223\appdata\roaming\lqm0f.exe');
 TerminateProcessByName('c:\users\223\appdata\local\nvidia corporation\update\daemonupd.exe');
 QuarantineFile('C:\Users\223\ffooazma.exe','');
 QuarantineFile('C:\Users\223\AppData\Local\Microsoft\Windows\winupdate.exe','');
 QuarantineFile('C:\Users\223\AppData\Local\Google\Update\gupdate.exe','');
 QuarantineFile('C:\Users\223\AppData\Local\binkoer.dll','');
 QuarantineFile('c:\users\223\appdata\roaming\lw_mc\service.exe','');
 QuarantineFile('c:\users\223\appdata\roaming\lqm0f.exe','');
 QuarantineFile('c:\users\223\appdata\local\nvidia corporation\update\daemonupd.exe','');
 DeleteFile('C:\Users\223\AppData\Roaming\LW_MC\service.exe','32');
 DeleteFile('C:\Users\223\AppData\Roaming\lQM0f.exe','32');
 DeleteFile('C:\Users\223\ffooazma.exe','32');
 DeleteFile('c:\users\223\appdata\local\binkoer.dll','32');
 DeleteFile('C:\Users\223\appdata\local\google\update\gupdate.exe','32');
 DeleteFile('C:\Users\223\appdata\local\microsoft\windows\winupdate.exe','32');
 DeleteFile('C:\Users\223\appdata\local\nvidia corporation\update\daemonupd.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Google Update');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NvUpdService');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','binkoer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LW_MC32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RedSHDrv');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');       
 RegKeyParamDel('HKCU', 'S-1-5-21-629981667-3912533090-3036842672-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'AutoConfigURL');  
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'AutoConfigURL');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(10);    
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
 
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = https://comcuerra.com/that/addpic.creo
O4 - HKCU\..\Run: [binkoer] rundll32 "C:\Users\223\AppData\Local\binkoer.dll",binkoer
O4 - HKCU\..\Run: [MSConfig] "C:\Users\223\ffooazma.exe"
O4 - HKCU\..\Run: [NvUpdService] C:\Users\223\AppData\Local\NVIDIA Corporation\Update\daemonupd.exe /app 069F4D8082BE3215960A394C14529F59
O4 - HKCU\..\Run: [Google Update] C:\Users\223\AppData\Local\Google\Update\gupdate.exe /app 069F4D8082BE3215960A394C14529F59
O4 - HKCU\..\Run: [LW_MC32] C:\Users\223\AppData\Roaming\LW_MC\service.exe
O4 - HKCU\..\Run: [RedSHDrv] "C:\Users\223\AppData\Roaming\lQM0f.exe"
O4 - Startup: winupdate.lnk = C:\Users\223\AppData\Local\Microsoft\Windows\winupdate.exe
 
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!
Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Доброго времени.

 

- Файрвол - отключил
- Скрипт АВЗ - выполнил
 
- quarantine.zip - отправил
KLAN-1365986682
binkoer.dll,
lqm0f.exe,
service.exe
ffooazma.exe
These files are in process.
daemonupd.exe,
gupdate.exe,
winupdate.exe - Trojan.Win32.Agentb.anux
New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
 
- HiJackThis - пофиксил
в наличии были:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = https://comcuerra.com/that/addpic.creo
O4 - HKCU\..\Run: [MSConfig] "C:\Users\223\ffooazma.exe"
 
 
Ссылка на сообщение
Поделиться на другие сайты

Удалите в МВАМ все, кроме

C:\Users\223\Downloads\beregi_lyubov.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
C:\Users\223\Downloads\krik_moey_dushi_feat.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
C:\Users\223\Downloads\the_sims_2__kollekciya_17_v_1__softclub____ea_games___rus___p__id698484id.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
Ссылка на сообщение
Поделиться на другие сайты

 

Удалите в МВАМ все, кроме

C:\Users\223\Downloads\beregi_lyubov.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
C:\Users\223\Downloads\krik_moey_dushi_feat.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
C:\Users\223\Downloads\the_sims_2__kollekciya_17_v_1__softclub____ea_games___rus___p__id698484id.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.

mbam-log-2014-01-25 (11-33-44).txt

Ссылка на сообщение
Поделиться на другие сайты

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan".


  • По окончанию сканирования снимите галочки со следующих строк:



Key Found : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\ICQ\ICQToolBar
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}



  • Нажмите кнопку "Clean" и дождитесь окончания удаления.


  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.


  • Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!.

 

Подробнее читайте в этом руководстве.

 

Сделайте новые логи по правилам раздела. 

Ссылка на сообщение
Поделиться на другие сайты
Закройте все программы
 
Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
 
begin
 ExecuteAVUpdate;    
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\multibar.exe');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Tabs.lnk');   
 DeleteService('TicnoIndexator');
ExecuteSysClean;  
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера.
 
Уточните что находится в этих папках?
 

C:\SwSetup

C:\8cfb484389de7e6b5cd173dcac

 

 
Сделайте новые логи RSIT.
Ссылка на сообщение
Поделиться на другие сайты

Уточните что находится в этих папках?

 

C:\SwSetup

C:\8cfb484389de7e6b5cd173dcac

 

Сделайте новые логи RSIT.

 

В папках лежат драйвера от бука, и инсталяшки от майкрософа

info.txt

log.txt

Ссылка на сообщение
Поделиться на другие сайты

Эти ключи в реестре удалите:

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\multibar.exe] - ключ
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Tabs.lnk] - параметр

В остальном порядок. Файлы я думаю расшифровать без оригинального дешифратора не получится.  

Ссылка на сообщение
Поделиться на другие сайты

Эти ключи в реестре удалите:

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\multibar.exe] - ключ
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Tabs.lnk] - параметр

В остальном порядок. Файлы я думаю расшифровать без оригинального дешифратора не получится.  

Это понятно, :(

Ссылка на сообщение
Поделиться на другие сайты

 

quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

New malicious software was found in the attached file.

binkoer.dll - Trojan-Proxy.Win32.Agent.gnu

Its detection will be included in the next update.

 

These files are already detected.

service.exe_ - Worm.Win32.Ngrbot.ykm

ffooazma.exe_ - Trojan-Dropper.Win32.Dorifel.aihn

winupdate.exe_ - Trojan.Win32.Agentb.anux

lqm0f.exe_ - Trojan-Ransom.Win32.Blocker.dmkp

Please update your bases

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...