Фантомас шифровальщик

[sater123]

Письмо с Арбитражного суда как обычно... Сотрудница перешла по ссылке и вот теперь почти все офисные файлы зашифрованы. Прошу помощи.

 

!!!ФАЙЛЫ ЗАШИФРОВАНЫ!!!
Фантомас разбушевался и зашифровал все Ваши важные файлы, да да, даже офисные!Но не отчаивайтесь, он готов Вам их вернуть, если Вы напишете на его фанто-почту и предложите некоторую сумму денег. Не забудьте указать фанто-идентификатор, написанный в конце названия каждого файла. Фантомас любит заметать следы, поэтому если Вы не отпишете ему в течение 48 часов, он удалит Ваш ключ расшифровки и расшифровка файлов будет невозможна!
Основная почта:
fantomass1998@gmail.com
Запасная почта (если в течение суток нет ответа с основной почты, пишите сюда):
masfantomas@onionmail.in

P.S. Достаточно отправить одно сообщение на почту, не стоит писать 100500 писем типа "ты где аууу?". Мы тоже люди и нам нужно спать, питаться и т.д. Большое кол-во писем от Вас только затруднит получение помощи.
P.P.S. Почта masfantomas@aol.com была заблокирована, если Вам предлагается отписать на это почту, то Вам так же следует отписать на fantomass1998@gmail.com, либо на masfantomas@onionmail.in.

Забыл прикрепить лог

virusinfo_syscheck.zip

hijackthis.log

CollectionLog-2014.10.20-11.27.zip

[mike 1]

Здравствуйте! Деинсталлируйте:

 

Weatherbar-->MsiExec.exe /I{29EA77C2-07D6-44B0-B41D-053380B0C6F4}

Weatherbar-->MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360}

WebBars-->C:\Program Files (x86)\WebBars\uninstall.exe

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

  then

   begin

    SearchRootkit(true, true);

    SetAVZGuardStatus(true);

   end;

 ClearQuarantine;

 QuarantineFileF('C:\Program Files (x86)\RarLab', '*.exe', true, ' ', 0, 0);

 QuarantineFileF('C:\ProgramData\TEMP', '*.exe', true, ' ', 0, 0);           

 QuarantineFile('C:\Users\tskorodko\Documents\Iterra\jgxyvil.dll','');

 QuarantineFile('C:\Users\tskorodko\AppData\Roaming\Gbjyje.exe','');

 QuarantineFile('C:\Program Files\Windows Media Player\wpshare.vbe','');

 QuarantineFile('C:\Program Files (x86)\WinRar\codec.exe','');

 DeleteFile('C:\Program Files (x86)\WinRar\codec.exe','32');

 DeleteFile('C:\Program Files\Windows Media Player\wpshare.vbe','32');

 DeleteFile('C:\Users\tskorodko\AppData\Roaming\Gbjyje.exe','32');

 DeleteFile('C:\Users\tskorodko\Documents\Iterra\jgxyvil.dll','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','progrmma');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','wpshare');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gbjyje','command');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Gbjyje');

 DeleteFileMask('C:\Users\tskorodko\Documents\Iterra', '*', true, ' ');

 DeleteFileMask('C:\ProgramData\TEMP', '*', true, ' ');

 DeleteFileMask('C:\Program Files (x86)\RarLab', '*', true, ' ');

 DeleteDirectory('C:\ProgramData\TEMP');     

 DeleteDirectory('C:\Program Files (x86)\RarLab');     

 DeleteDirectory('C:\Users\tskorodko\Documents\Iterra');          

BC_ImportAll;

ExecuteSysClean;

BC_Activate;     

RebootWindows(false);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

O2 - BHO: Weatherbar - {17177FAA-3830-43D3-A70B-FDE532676B1E} - C:\Program Files (x86)\tooldev342\Weatherbar\TracersToolbarBHO_x86.dll

O2 - BHO: TrueSuite WebStore - {5cb2b77d-c8ca-44db-af20-a7a4df462a12} - mscoree.dll (file missing)

O2 - BHO: WebBars - {79E1CFFB-E2E0-436C-B82A-9902BBEA6391} - C:\Program Files (x86)\WebBars\Basement\Extension32.dll

O4 - HKCU\..\Run: [Gbjyje] C:\Users\tskorodko\AppData\Roaming\Gbjyje.exe

O4 - HKLM\..\Policies\Explorer\Run: [wpshare] C:\Program Files\Windows Media Player\wpshare.vbe

O20 - AppInit_DLLs: C:\Users\tskorodko\Documents\Iterra\jgxyvil.dll

 

 

Сделайте новые логи

 

Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

 

 

[sater123]

Прикрепляю лог. Запрос с карантином в Касперский отправил.

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

codec.exe - Trojan-Ransom.Win32.Cryakl.bo

Детектирование файла будет добавлено в следующее обновление.

oops.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

MBAM-log-2014-10-20 (13-54-30).txt

[mike 1]

Где новые логи? WebBars почему не деинсталлировали?

 

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

 

Обнаруженные процессы в памяти:  1
C:\Program Files (x86)\WebBars\Basement\ExtensionUpdaterService.exe (PUP.Optional.SweetPacks.A) -> 1620 -> Действие не было предпринято.
Обнаруженные ключи в реестре:  1
HKLM\SYSTEM\CurrentControlSet\Services\Update Service for WebBars (PUP.Optional.SweetPacks.A) -> Действие не было предпринято.
 
Обнаруженные файлы:  39
C:\Program Files (x86)\WebBars\Basement\ExtensionUpdaterService.exe (PUP.Optional.SweetPacks.A) -> Действие не было предпринято.
C:\ProgramData\Symantec\SRTSP\Quarantine\APQE02E.tmp (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Public\Favorites\Favorites.bat (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\360C.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\482.exe (Trojan.Ransom) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\71.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\9F80.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\AD9A.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\B501.exe (Trojan.Ransom) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\BCFB.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\BD76.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\BE62.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\D135.exe (Trojan.Ransom) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\D44E.exe (Trojan.Ransom) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\E2F7.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\EC95.exe (Trojan.Ransom) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\F56C.exe (Trojan.Ransom) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\FC63.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\62AXOPQ5\update[1] (PUP.Optional.SweetPacks.A) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\62AXOPQ5\update[2] (PUP.Optional.SweetPacks.A) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LIXMVQOA\update[1] (PUP.Optional.SweetPacks.A) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\1579.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\2534.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\3745.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\3940.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\4552.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\5663.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\6049.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\7219.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\7661.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\7851.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\8351.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\9249.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\9472.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\1E97.exe (Backdoor.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\2D76.exe (Backdoor.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\3C85.exe (Backdoor.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\B918.exe (Backdoor.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\FB78.exe (Backdoor.Agent.Gen) -> Действие не было предпринято.

 

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

 

 

 

 

[sater123]

Прикрепляю новые логи

hijackthis.log

KL_syscure.zip

mbam-log-2014-10-20 (16-16-37).txt

[Roman_Five]

 

 

Прикрепляю новые логи Прикрепленные файлы  hijackthis.log   14,3К   Количество загрузок: 0  KL_syscure.zip   29,02К   Количество загрузок: 0

это не ТЕ новые логи.

прочтите правила ещё раз.

[sater123]

 

Прикрепляю новые логи Прикрепленные файлы  hijackthis.log   14,3К   Количество загрузок: 0  KL_syscure.zip   29,02К   Количество загрузок: 0

это не ТЕ новые логи.

прочтите правила ещё раз.

 

Я извиняюсь, но я сделал как написали - в MBAM просканил, сделал "Remove Selected", затем повторно просканил как было написано и выложил логи.

[thyrex]

Новые логи автосборщика не прислали

[sater123]

Извиняюсь, и правда не то сделал. Прикрепил.

CollectionLog-2014.10.20-18.07.zip

[thyrex]

Пофиксите в HiJack

O2 - BHO: TrueSuite WebStore - {5cb2b77d-c8ca-44db-af20-a7a4df462a12} - mscoree.dll (file missing)

Сделайте лог ComboFix

[sater123]

Прикрепляю лог Комбофикса. В Хайджеке сделал фикс после, надеюсь это не страшно.

ComboFix.txt

[Roman_Five]

Для устранения уязвимостей выполните в AVZ скрипт из файла ScanVuln.txt
Откройте файл avz_log.txt из подпапки LOG (AVZ4\LOG\avz_log.txt) или из корня диска С (С:\avz_log.txt).
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Важно: обратите внимание, при установке сервис-паков и обновлении ОС может потребоваться повторная активация Windows.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

 

После этого приложите новые логи MBAM и Combofix

[sater123]

А как быть с зашифрованными файлами? Можно ли как-нибудь их расшифровать? Есть оригиналы и зашифрованные.

[Roman_Five]

 

 

А как быть с зашифрованными файлами?

с этим позднее.
выполняйте рекомендации, данные выше.

[sater123]

Всё установил вроде, кроме единственного апдейта MS Office. Прикрепляю логи.

ComboFix.txt

mbam-log-2014-10-21 (12-59-58).txt