Вирус-шифровальщик, AES256.

[lamazina 0]

Доброго времени суток. Так же как и у многих, доброе кол - во файлов на компьютере зашифровалось в файлы формата aes256. 

CollectionLog-2014.10.19-11.00.zip

ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt

отчёт KVRT.txt

[mike 1 1 093]

Здравствуйте! Софт нужно качать с официальных сайтов, а не помоек. Деинсталлируйте:

 

baidu version 1.5-->"C:\Program Files (x86)\baidu\unins000.exe"
HD-Quality-v3-->C:\Program Files (x86)\HD-Quality-v3\Uninstall.exe /fcp=1
Media Watch-->C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home894\uninstall.exe
PPЦъКЦ PC°ж 1.1.2.0-->C:\Program Files (x86)\PPЦъКЦ\uninst.exe
PP??2.0 Win?-->C:\Program Files (x86)\PPЦъКЦ\uninst.exe
Weatherbar-->MsiExec.exe /I{29EA77C2-07D6-44B0-B41D-053380B0C6F4}
Weatherbar-->MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360}
Web SecurityExtension version 7.86-->"C:\Program Files (x86)\funfld\unins000.exe"
WebConnect 3.0.0-->C:\Program Files (x86)\WebConnect\WebConnectuninstall.exe
WebSecurity Extension version 16.40-->"C:\Program Files (x86)\Microsoft Data\unins000.exe"
Обнови Софт-->C:\Program Files (x86)\Obnovi Soft\uninstall.exe

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFileF('%USERPROFILE%\appdata\roaming\mail.ru newgamest', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\runWIN', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\ICL', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\GemWare', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\Microsoft DB', '*', true, ' ', 0, 0);
 QuarantineFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
 QuarantineFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Главное меню\Программы\Автозагрузка\runWIN.exe','');
 DeleteFile('%USERPROFILE%\AppData\Roaming\runWIN\Update.exe','32');
 DeleteFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Главное меню\Программы\Автозагрузка\runWIN.exe','32');
 DeleteFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');     
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');   
 DeleteFileMask('%USERPROFILE%\appdata\roaming\mail.ru newgamest', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\runWIN', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\ICL', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\GemWare', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\Microsoft DB', '*', true, ' ');
 DeleteDirectory('%USERPROFILE%\appdata\roaming\mail.ru newgamest');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\runWIN');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\ICL');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\GemWare');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\Microsoft DB');  
 TerminateProcessByName('C:\Program Files (x86)\WebConnect\bin\WebConnect.PurBrowse64.exe');
 TerminateProcessByName('C:\Program Files (x86)\WebConnect\bin\WebConnect.BrowserAdapter64.exe');
 TerminateProcessByName('c:\program files (x86)\webconnect\bin\webconnect.browseradapter.exe');
 TerminateProcessByName('c:\program files (x86)\webconnect\bin\webconnect.boashelper.exe');
 TerminateProcessByName('c:\program files (x86)\webconnect\bin\utilwebconnect.exe');
 TerminateProcessByName('c:\program files (x86)\webconnect\updatewebconnect.exe');
 SetServiceStart('Util WebConnect', 4);
 SetServiceStart('Update WebConnect', 4);
 StopService('Util WebConnect');
 StopService('Update WebConnect');
 QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
 QuarantineFile('C:\Users\0_0\AppData\Roaming\YK.exe','');
 QuarantineFile('C:\Users\0_0\AppData\Roaming\UIUEPY.exe','');
 QuarantineFile('c:\progra~3\wincert\win32c~1.dll','');
 QuarantineFile('c:\progra~2\movies~1\datamngr\mgrldr.dll','');
 QuarantineFile('C:\PROGRA~3\Wincert\WIN64C~1.DLL','');
 QuarantineFile('C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll','');
 QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','');
 QuarantineFile('C:\Windows\system32\drivers\wStLibG64.sys','');
 QuarantineFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\DatamngrCoordinator.exe','');
 QuarantineFile('C:\Windows\system32\drivers\{664f7cae-01d9-48b5-bc90-e3c3d6bb0ddb}w64.sys','');
 QuarantineFile('C:\Program Files (x86)\WebConnect\bin\WebConnect.PurBrowse64.exe','');
 QuarantineFile('C:\Program Files (x86)\WebConnect\bin\WebConnect.BrowserAdapter64.exe','');
 QuarantineFile('c:\program files (x86)\webconnect\bin\webconnect.browseradapter.exe','');
 QuarantineFile('c:\program files (x86)\webconnect\bin\webconnect.boashelper.exe','');
 QuarantineFile('c:\program files (x86)\webconnect\bin\utilwebconnect.exe','');
 QuarantineFile('c:\program files (x86)\webconnect\updatewebconnect.exe','');
 DeleteFile('c:\program files (x86)\webconnect\bin\webconnect.boashelper.exe','32');
 DeleteFile('c:\program files (x86)\webconnect\bin\webconnect.browseradapter.exe','32');
 DeleteFile('C:\Program Files (x86)\WebConnect\bin\WebConnect.BrowserAdapter64.exe','32');
 DeleteFile('C:\Program Files (x86)\WebConnect\bin\WebConnect.PurBrowse64.exe','32');
 DeleteFile('C:\Windows\system32\drivers\{664f7cae-01d9-48b5-bc90-e3c3d6bb0ddb}w64.sys','32');
 DeleteFile('C:\Program Files (x86)\WebConnect\updateWebConnect.exe','32');
 DeleteFile('C:\Program Files (x86)\WebConnect\bin\utilWebConnect.exe','32');
 DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\DatamngrCoordinator.exe','32');
 DeleteFile('C:\Windows\system32\drivers\wStLibG64.sys','32');
 DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','32');
 DeleteFile('C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll','32');
 DeleteFile('C:\PROGRA~3\Wincert\WIN64C~1.DLL','32');
 DeleteFile('c:\progra~2\movies~1\datamngr\mgrldr.dll','32');
 DeleteFile('c:\progra~3\wincert\win32c~1.dll','32');
 DeleteFile('C:\Windows\Tasks\30a17d86-e61c-42ac-bbca-96aa76a9e34d.job','64');
 DeleteFile('C:\Windows\Tasks\829c9f05-e528-4dc3-b8c1-c6e41e5bf82b.job','64');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
 DeleteFile('C:\Windows\Tasks\DSite.job','64');
 DeleteFile('C:\Windows\Tasks\f3de8751-6459-4143-81b7-b746461dcd51-1.job','64');
 DeleteFile('C:\Windows\Tasks\f3de8751-6459-4143-81b7-b746461dcd51-11.job','64');
 DeleteFile('C:\Windows\Tasks\f3de8751-6459-4143-81b7-b746461dcd51-2.job','64');
 DeleteFile('C:\Windows\Tasks\f3de8751-6459-4143-81b7-b746461dcd51-3.job','64');
 DeleteFile('C:\Windows\Tasks\f3de8751-6459-4143-81b7-b746461dcd51-4.job','64');
 DeleteFile('C:\Windows\Tasks\f3de8751-6459-4143-81b7-b746461dcd51-5.job','64');
 DeleteFile('C:\Windows\Tasks\f3de8751-6459-4143-81b7-b746461dcd51-6.job','64');
 DeleteFile('C:\Windows\Tasks\f3de8751-6459-4143-81b7-b746461dcd51-7.job','64');
 DeleteFile('C:\Windows\Tasks\UIUEPY.job','64');
 DeleteFile('C:\Users\0_0\AppData\Roaming\UIUEPY.exe','32');
 DeleteFile('C:\Windows\Tasks\YK.job','64');
 DeleteFile('C:\Users\0_0\AppData\Roaming\YK.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\30a17d86-e61c-42ac-bbca-96aa76a9e34d','64');
 DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
 DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
 DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64');
 DeleteFile('C:\Windows\system32\Tasks\DSite','64');
 DeleteFile('C:\Windows\system32\Tasks\f3de8751-6459-4143-81b7-b746461dcd51-1','64');
 DeleteFile('C:\Windows\system32\Tasks\f3de8751-6459-4143-81b7-b746461dcd51-11','64');
 DeleteFile('C:\Windows\system32\Tasks\f3de8751-6459-4143-81b7-b746461dcd51-3','64');
 DeleteFile('C:\Windows\system32\Tasks\f3de8751-6459-4143-81b7-b746461dcd51-4','64');
 DeleteFile('C:\Windows\system32\Tasks\f3de8751-6459-4143-81b7-b746461dcd51-7','64');
 DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x86');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64');
 DeleteService('wStLibG64');
 DeleteService('DatamngrCoordinator');
 DeleteService('Util WebConnect');
 DeleteService('Update WebConnect');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ebbeff18097f2f11d189b8bef13a05ae&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ebbeff18097f2f11d189b8bef13a05ae&text=
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O3 - Toolbar: (no name) - {3d86a75b-cb6b-4764-885d-ca6336f04ba2} - (no file)
O20 - AppInit_DLLs: c:\progra~2\movies~1\datamngr\mgrldr.dll c:\progra~3\wincert\win32c~1.dll

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

• Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе

• Распакуйте архив с утилитой в отдельную папку

• Запустите FixerBro

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В главном окне программы нажмите на кнопку "Проверить"

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)

• По окончанию сканирования нажмите на кнопку "Отчет".

• Сохраните лог утилиты

• Прикрепите сохраненный отчет в вашей теме.

 

Изменено 19 октября, 2014 пользователем mike 1

[lamazina 0]

Спасибо за ответ! Но деинсталлировать программу "Weatherbar" не удается, поскольку:

[Roman_Five 598]

удаляйте те, что можно. и выполняйте остальные рекомендации.

[lamazina 0]

Отчеты. 

AdwCleanerR0.txt

FixerBro_20141019.txt

[thyrex 1 468]

Новые логи по правилам тоже сделайте

[mike 1 1 093]

+

 

1. Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

 

2.

•  
• Запустите повторно FixerBro by glax24.
  

  Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

•  
• Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив следующих строк и нажмите на кнопку Исправить. Дождитесь окончания удаления.

C:\Users\Путин босс\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://oreshki-news.net/?source=ic"]
C:\Users\Путин босс\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://oreshki-news.net/?source=ic"]
C:\Users\Путин босс\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://oreshki-news.net/?source=ic"]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk [C:\Program Files (x86)\Google\chrome.bat "http://rusnews21.ru"  - (Объект запуска не найден)]

•  
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt).

• По окончанию удаления нажмите на кнопку "Отчет"

• Сохраните лог утилиты

• Прикрепите сохраненный отчет в вашей теме.

 

3. Скачайте ComboFix здесь и сохраните в корень диска С. 

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

 

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

 

Подробнее в "ComboFix. Руководство по применению."

[lamazina 0]

Вновь отчеты. 

ComboFix.txt

FixerBro_20141019.txt

AdwCleanerS0.txt

[mike 1 1 093]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

KillAll::

 

File::

c:\windows\SysWow64\removeSAddons.bat

c:\windows\system32\bd64_x86.dll

c:\windows\system32\bd64_x64.dll

c:\windows\system32\drivers\BDArKit.sys

c:\windows\system32\drivers\bd0001.sys

c:\windows\system32\drivers\BDSafeBrowser.sys

c:\windows\system32\drivers\bd0004.sys

c:\windows\system32\drivers\bd0001_1.sys

C:\Battle.net Launcher.bat

c:\program files (x86)\DivXConverterLauncher.bat

c:\program files (x86)\DivXControlPanelLauncher.bat

 

Driver::

BDSafeBrowser

bd0004

BDArKit

BDSGRTP

 

Folder::

c:\programdata\Baidu

c:\program files (x86)\Common Files\Baidu

 

Registry::

 

FileLook::

 

DirLook::

 

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

[lamazina 0]

Новый отчет. 

ComboFix.txt

[mike 1 1 093]

Сделайте новые логи Автологгером. 

[lamazina 0]

Логи.

CollectionLog-2014.10.19-19.14.zip

[mike 1 1 093]

1. Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

 

 

2. Скачайте OTCleanIt, запустите, нажмите Clean up

 

 

3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\0_0\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
 DeleteFile('C:\Users\0_0\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
 DeleteFileMask('C:\Users\0_0\AppData\Local\Microsoft\Extensions', '*', true, ' ');
 DeleteDirectory('C:\Users\0_0\AppData\Local\Microsoft\Extensions');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);     
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

4. Сделайте новые логи

 

 

[lamazina 0]

Новые логи. 

FixerBro_20141019.txt

AdwCleanerS1.txt

[Roman_Five 598]

требовались новые логи автологгера