поймал Trojan.Encoder с алгоритмом шифрования AES-256

4 октября, 2014

Прошу помощи, поймал сей вирус, не могу достать нужные файла т. к. они зашифрованы по алгоритму AES-256, подскажите и помогите что мне делать, вкладываю логи.

CollectionLog-2014.10.04-13.13.zip

4 октября, 2014

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\programdata\iepluginservices\pluginservice.exe');
 TerminateProcessByName('c:\program files (x86)\suptab\hpui.exe');
 SetServiceStart('screentk', 4);
 StopService('screentk');
 QuarantineFileF('C:\Users\Юрий\AppData\Roaming\Microsoft DB', '*.exe', true, ' ', 0, 0);
 QuarantineFileF('C:\Users\Юрий\AppData\Roaming\GemWare', '*.exe', true, ' ', 0, 0);
 QuarantineFileF('C:\Users\Юрий\AppData\Roaming\ICL', '*.exe', true, ' ', 0, 0);        
 QuarantineFile('C:\Users\Юрий\AppData\Local\11652\a30963.exe','');
 QuarantineFile('C:\Users\Юрий\AppData\Roaming\newSI_876002\s_inst.exe','');
 QuarantineFile('C:\Users\Юрий\AppData\Roaming\newSI_4396\s_inst.exe','');
 QuarantineFile('C:\Users\Юрий\AppData\Roaming\newSI_20107\s_inst.exe','');
 QuarantineFile('C:\Users\Юрий\AppData\Roaming\newSI_1801\s_inst.exe','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Users\Юрий\AppData\Local\Yandex\browser.bat','');
 QuarantineFile('C:\Windows\screentk.sys','');
 QuarantineFile('C:\Program Files (x86)\SupTab\WindowsSupportDll32.dll','');
 QuarantineFile('C:\Program Files (x86)\SupTab\SupTab.dll','');
 QuarantineFile('c:\programdata\iepluginservices\pluginservice.exe','');
 QuarantineFile('c:\program files (x86)\suptab\hpui.exe','');
 DeleteFile('c:\program files (x86)\suptab\hpui.exe','32');
 DeleteFile('c:\programdata\iepluginservices\pluginservice.exe','32');
 DeleteFile('C:\Program Files (x86)\SupTab\SupTab.dll','32');
 DeleteFile('C:\Program Files (x86)\SupTab\WindowsSupportDll32.dll','32');
 DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnSvc.exe','32');
 DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdSvc.exe','32');
 DeleteFile('C:\Windows\screentk.sys','32');
 DeleteFile('C:\Users\Юрий\AppData\Local\Yandex\browser.bat','32');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
 DeleteFile('C:\Users\Юрий\AppData\Roaming\newSI_1801\s_inst.exe','32');
 DeleteFile('C:\Windows\Tasks\newSI_1801.job','64');
 DeleteFile('C:\Windows\Tasks\newSI_20107.job','64');
 DeleteFile('C:\Users\Юрий\AppData\Roaming\newSI_20107\s_inst.exe','32');
 DeleteFile('C:\Windows\Tasks\newSI_4396.job','64');
 DeleteFile('C:\Users\Юрий\AppData\Roaming\newSI_4396\s_inst.exe','32');
 DeleteFile('C:\Windows\Tasks\newSI_876002.job','64');
 DeleteFile('C:\Users\Юрий\AppData\Roaming\newSI_876002\s_inst.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','64');
 DeleteFile('C:\Users\Юрий\AppData\Local\11652\a30963.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
 DeleteFile('C:\Windows\system32\Tasks\LaunchSignup','64');
 DeleteFile('C:\Windows\system32\Tasks\newSI_1801','64');
 DeleteFile('C:\Windows\system32\Tasks\newSI_20107','64');
 DeleteFile('C:\Windows\system32\Tasks\newSI_4396','64');
 DeleteFile('C:\Windows\system32\Tasks\newSI_876002','64');
 DeleteFile('C:\Users\Юрий\AppData\Roaming\YandexDiskStarter.bat','32');
 DeleteFile('C:\Users\Юрий\AppData\Roaming\YandexDiskScreenshotEditor.bat','32');    
 DeleteService('screentk');
 DeleteService('BDMRTP');
 DeleteService('BDKVRTP');
 DeleteFileMask('C:\Users\Юрий\AppData\Roaming\newSI_876002', '*', true, ' ');
 DeleteFileMask('C:\Users\Юрий\AppData\Roaming\newSI_4396', '*', true, ' ');
 DeleteFileMask('C:\Users\Юрий\AppData\Roaming\newSI_20107', '*', true, ' ');
 DeleteFileMask('C:\Users\Юрий\AppData\Roaming\newSI_1801', '*', true, ' ');
 DeleteFileMask('C:\Users\Юрий\AppData\Local\11652', '*', true, ' ');
 DeleteFileMask('C:\ProgramData\Schedule', '*', true, ' ');
 DeleteFileMask('C:\Users\Юрий\AppData\Roaming\Microsoft DB', '*', true, ' ');
 DeleteFileMask('C:\Users\Юрий\AppData\Roaming\GemWare', '*', true, ' ');
 DeleteFileMask('C:\Users\Юрий\AppData\Roaming\ICL', '*', true, ' ');
 DeleteFileMask('C:\Program Files (x86)\ШоппингГид', '*', true, ' ');
 DeleteDirectory('C:\Program Files (x86)\ШоппингГид');     
 DeleteDirectory('C:\Users\Юрий\AppData\Roaming\newSI_876002');     
 DeleteDirectory('C:\Users\Юрий\AppData\Roaming\newSI_4396');     
 DeleteDirectory('C:\Users\Юрий\AppData\Roaming\newSI_20107');     
 DeleteDirectory('C:\Users\Юрий\AppData\Roaming\newSI_1801');     
 DeleteDirectory('C:\Users\Юрий\AppData\Local\11652');     
 DeleteDirectory('C:\ProgramData\Schedule');     
 DeleteDirectory('C:\Users\Юрий\AppData\Roaming\Microsoft DB');     
 DeleteDirectory('C:\Users\Юрий\AppData\Roaming\GemWare');     
 DeleteDirectory('C:\Users\Юрий\AppData\Roaming\ICL');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);    
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1408817681&from=amt&uid=WDCXWD5000LPVX-75V0TT0_WXR1E63FWRSXE63FWRSX
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=84993&tid=29458&ver=6.7&ts=1408825497496&tguid=84993-29458-1408825497496-C242E1F59A7290FAC09A5977C42C842E&st=chrome&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=84993&tid=29458&ver=6.7&ts=1408825497496&tguid=84993-29458-1408825497496-C242E1F59A7290FAC09A5977C42C842E&st=chrome&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=84993&tid=29458&ver=6.7&ts=1408825497496&tguid=84993-29458-1408825497496-C242E1F59A7290FAC09A5977C42C842E&st=chrome&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1408817681&from=amt&uid=WDCXWD5000LPVX-75V0TT0_WXR1E63FWRSXE63FWRSX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=84993&tid=29458&ver=6.7&ts=1408825497496&tguid=84993-29458-1408825497496-C242E1F59A7290FAC09A5977C42C842E&st=chrome&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=84993&tid=29458&ver=6.7&ts=1408825497496&tguid=84993-29458-1408825497496-C242E1F59A7290FAC09A5977C42C842E&st=chrome&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=84993&tid=29458&ver=6.7&ts=1408825497496&tguid=84993-29458-1408825497496-C242E1F59A7290FAC09A5977C42C842E&st=chrome&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.certified-toolbar.com?si=84993&st=home&tid=29458&ver=6.7&ts=1408825497496&tguid=84993-29458-1408825497496-C242E1F59A7290FAC09A5977C42C842E
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.certified-toolbar.com?si=84993&tid=29458&ver=6.7&ts=1408825497496&tguid=84993-29458-1408825497496-C242E1F59A7290FAC09A5977C42C842E&st=chrome&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.certified-toolbar.com?si=84993&tid=29458&ver=6.7&ts=1408825497496&tguid=84993-29458-1408825497496-C242E1F59A7290FAC09A5977C42C842E&st=chrome&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.istartsurf.com/web/?type=ds&ts=1408817681&from=amt&uid=WDCXWD5000LPVX-75V0TT0_WXR1E63FWRSXE63FWRSX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.istartsurf.com/web/?type=ds&ts=1408817681&from=amt&uid=WDCXWD5000LPVX-75V0TT0_WXR1E63FWRSXE63FWRSX&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.certified-toolbar.com?si=84993&st=bs&tid=29458&ver=6.7&ts=1408825497496&tguid=84993-29458-1408825497496-C242E1F59A7290FAC09A5977C42C842E&q=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.certified-toolbar.com?si=84993&st=bs&tid=29458&ver=6.7&ts=1408825497496&tguid=84993-29458-1408825497496-C242E1F59A7290FAC09A5977C42C842E&q=%s
O2 - BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\SupTab\SupTab.dll
O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2ae50927e0a9ac648623de361245a126&text=

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе

Распакуйте архив с утилитой в отдельную папку

Запустите FixerBro
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

В главном окне программы нажмите на кнопку "Проверить"

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)

По окончанию сканирования нажмите на кнопку "Отчет".

Сохраните лог утилиты

Прикрепите сохраненный отчет в вашей теме.

6 октября, 2014

Дополнительно пришлите несколько зашифрованных файлов для теста дешифратора.

9 октября, 2014

вот еще отчеты и образцы зашифрованных файлов

продолжение

Сообщение от модератора Mark D. Pearlstone

Не выкладывайте quarantine.zip на форум. Файл удалён.

AdwCleanerR0.txt

virusinfo_syscure.htm

virusinfo_syscure.xml

virusinfo_syscure.zip

9 октября, 2014

Где лог FixerBro?

10 октября, 2014

пардонте, упустил, вот он:

FixerBro_20141010 (2).txt

10 октября, 2014

исправьте эти ярлыки в FixerBro

================================ [ Ярлыки ] =================================
C:\Users\Юрий\Desktop\Неиспользованные ярлыки\CCleaner.lnk [C:\Program Files\CCleaner\CCleaner64.exe] - (CCleaner64.exe не найден в базе)
C:\Users\Юрий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [C:\iexplore.bat "http://search-yahdex.ru" ]
C:\Users\Юрий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk [C:\Users\Юрий\AppData\Local\Yandex\browser.bat "http://search-yahdex.ru" ]
C:\Users\Юрий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk [C:\iexplore.bat "http://search-yahdex.ru" ]
C:\Users\Юрий\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk [C:\iexplore.bat "http://search-yahdex.ru" ]
C:\Users\Юрий\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk [C:\Users\Юрий\AppData\Local\Yandex\browser.bat "http://search-yahdex.ru" ]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner\CCleaner - [Тихая очистка + завершение работы].lnk [C:\Program Files\CCleaner\CCleaner64.exe /AUTO /SHUTDOWN] - (CCleaner64.exe не найден в базе)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner\CCleaner - [Тихая очистка + перезагрузка].lnk [C:\Program Files\CCleaner\CCleaner64.exe /AUTO /RESTART] - (CCleaner64.exe не найден в базе)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner\CCleaner - [Тихая очистка].lnk [C:\Program Files\CCleaner\CCleaner64.exe /AUTO] - (CCleaner64.exe не найден в базе)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner\CCleaner.lnk [C:\Program Files\CCleaner\CCleaner64.exe] - (CCleaner64.exe не найден в базе)
=============================================================================

новый лог приложите

10 октября, 2014

+ Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

14 октября, 2014

вот отчеты.

FixerBro_20141014.txt

AdwCleanerS0.txt

14 октября, 2014

приложите свежий лог adwcleaner, пожалуйста.

15 октября, 2014

+ до 17 числа напишите id и hashkey

18 октября, 2014

а где его взять или посмотреть?

18 октября, 2014

Уже опоздали. Пробуйте http://support.kaspersky.ru/viruses/disinfection/10556

18 октября, 2014

хорошо попробую спасибо, по окончанию отпишусь

21 октября, 2014

спасибо большое все получилось )) благадарю за помощь

поймал Trojan.Encoder с алгоритмом шифрования AES-256

Рекомендуемые сообщения

ronwillVS

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

ronwillVS

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

ronwillVS

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

ronwillVS

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

ronwillVS

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

ronwillVS

Ссылка на комментарий

Поделиться на другие сайты

ronwillVS

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum