Вирус зашифровал файлы с расширением *dymdxca

[Arturko]

Вирус зашифровал файлы с расширением *dymdxca

В основном файлы офиса, а также Dbf - что удивительно

CollectionLog-2015.01.27-16.46.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin   
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\BUH\appdata\roaming\opera software\opera stable\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll','');
 QuarantineFile('C:\Users\BUH\appdata\local\microsoft\internet explorer\extensions\apihelper.dll','');
 QuarantineFile('C:\Users\BUH\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll','');
 QuarantineFile('C:\Windows\system32\wlanmgr.dll','');
 QuarantineFile('C:\Windows\system32\kbdmai.dll','');
 QuarantineFile('C:\Windows\system32\ir16_32.dll','');
 QuarantineFile('C:\Windows\system32\d3dadapter.dll','');
 QuarantineFile('F:\autorun.inf','');
 QuarantineFile('F:\wubi.exe','');
 DeleteFile('F:\wubi.exe','32');
 DeleteFile('F:\autorun.inf','32');
 DeleteFile('C:\Windows\system32\d3dadapter.dll','32');
 DeleteFile('C:\Windows\system32\ir16_32.dll','32');
 DeleteFile('C:\Windows\system32\kbdmai.dll','32');
 DeleteFile('C:\Windows\system32\wlanmgr.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\Express FilesUpdate','64');   
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Сделайте новые логи Автологгером. 

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

В следующем вашем ответе мне требуются следующие отчеты:

 

1. CollectionLog-yyyy.mm.dd-hh.mm.zip

 

2. FRST.txt, Addition.txt

[Arturko]

Ответ на e-mail

 

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

apihelper.dll - not-a-virus:AdWare.Win32.BHO.bera
npapihelper.dll,
npapihelper_0.dll - not-a-virus:AdWare.Win32.BHO.berl

Это файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates

autorun.inf

Вредоносный код в файле не обнаружен.

d3dadapter.dll,
kbdmai.dll,
wubi.exe
ir16_32.dll
wlanmgr.dll

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. Requests from licensed users, which have been sent from the Dashboard (https://my.kaspersky.com/en/support/viruslab) or CompanyAccount (https://companyaccount.kaspersky.com) will also receive a response from a virus analyst.

apihelper.dll - not-a-virus:AdWare.Win32.BHO.bera
npapihelper.dll,
npapihelper_0.dll - not-a-virus:AdWare.Win32.BHO.berl

These files are Advertizing Tools, theirs detection will be included in the next update of extended databases set. See more info about extended databases here: http://www.kaspersky.com/extraavupdates

autorun.inf

No malicious code was found in this file.

d3dadapter.dll,
kbdmai.dll,
wubi.exe
ir16_32.dll
wlanmgr.dll

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"


--------------------------------------------------------------------------------
From: artur_05@ukr.net
Sent: 1/28/2015 6:25:54 AM
To: newvirus@kaspersky.com
Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0]


LANG: ru
email: artur_05@ukr.net
        
description:
Вирус зашифровал файлы с расширением *dymdxca

Загруженные файлы:
quarantine.zip

 

Програма FRST выдает ошибку при нажатии на кнопку Scan, но файл FRST.txt дает , картинку ошибки прикрепил

файли

еще ответ

 

 

RE: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-2461353407]

 

 

сьогодні, 09:22

newvirus@kaspersky.com

Кому:artur_05@ukr.net

Hello,

wubi.exe - clean
autorun.inf - clean

kbdmai.dll - Trojan-Downloader.Win32.Stantinko.b
d3dadapter.dll - Trojan-Downloader.Win32.Stantinko.c
ir16_32.dll - Backdoor.Win32.Agent.dlmv
npapihelper.dll - not-a-virus:AdWare.Win32.BHO.berl
apihelper.dll - not-a-virus:AdWare.Win32.BHO.bera
wlanmgr.dll - Backdoor.Win32.Agent.dlmu

New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.

Best Regards, Cobber Tuo
Malware Analyst, Kaspersky Lab.

39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com

--------------------------------------------------------------------------------
From: artur_05@ukr.net
Sent: 28.01.2015 9:26:00
To: newvirus@kaspersky.com
Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0]


LANG: ru
email: artur_05@ukr.net
        
description:
Вирус зашифровал файлы с расширением *dymdxca

Загруженные файлы:
quarantine.zip

CollectionLog-2015.01.28-08.55.zip

FRST.txt

[mike 1]

Перекачайте утилиту Farbar и попробуйте сделать логи еще раз. 

[Arturko]

помогло

Addition.txt

FRST.txt

[mike 1]

Разработчик утилиты исправил ошибку в утилите. 

 

 

Важно! Скрипт нужно выполнять в безопасном режиме. 

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
BHO: APIHelperBHO -> {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} -> C:\Users\BUH\AppData\Local\Microsoft\Internet Explorer\Extensions\APIHelper_64.dll ()
Toolbar: HKU\S-1-5-21-3820966142-3653488768-1870496788-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
CHR Extension: (APIHelper) - C:\Users\BUH\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdigkpjbmbdepgpkjeabfghlchdmphke [2014-10-31]
CHR Extension: (Ultimate Discounter) - C:\Users\BUH\AppData\Local\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhgllpapg [2014-10-16]
CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path
CHR HKLM-x32\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - No Path
CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - No Path
OPR Extension: (No Name) - C:\Users\BUH\AppData\Roaming\Opera Software\Opera Stable\Extensions\bdigkpjbmbdepgpkjeabfghlchdmphke [2014-10-31]
OPR Extension: (Ultimate Discounter) - C:\Users\BUH\AppData\Roaming\Opera Software\Opera Stable\Extensions\dcnopnlodagacagplbnimfokkomdhnio [2014-10-16]
OPR Extension: (APIHelper) - C:\Users\BUH\AppData\Roaming\Opera Software\Opera Stable\Extensions\fhmcldpohlnkhmdbhfggpafgkafbcfnh [2015-01-22]
S2 d3dadapter; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S2 ir16_32; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S2 kbdmai; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S2 wlanmgr; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S2 BDKVRTP; "C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdSvc.exe" -r [X]
S2 BDMRTP; "C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe" -r [X]
R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [174416 2014-09-17] (Baidu)
R1 bd0003; C:\Windows\System32\DRIVERS\bd0003.sys [64840 2014-07-21] (Baidu)
R2 BDArKit; C:\Windows\System32\DRIVERS\BDArKit.sys [141128 2014-10-16] (Baidu Technology)
R2 BDArKit; C:\Windows\SysWOW64\DRIVERS\BDArKit.sys [87368 2014-09-19] (Baidu Technology)
R2 BDMNetMon; C:\Windows\System32\DRIVERS\BDMNetMon.sys [109384 2014-06-19] (Baidu)
R1 BDMWrench_x64; C:\Windows\System32\DRIVERS\BDMWrench_x64.sys [52040 2014-09-23] (Baidu)
R2 BDSafeBrowser; C:\Windows\system32\drivers\BDSafeBrowser.sys [49480 2014-10-16] (Baidu)
S1 bd0002; system32\DRIVERS\bd0002.sys [X]
S1 bd0004; system32\DRIVERS\bd0004.sys [X]
S1 BDAntiExp; system32\DRIVERS\BDAntiExp.sys [X]
S1 BDEnhanceBoost; system32\drivers\BDEnhanceBoost.sys [X]
C:\Windows\System32\DRIVERS\bd0001.sys
C:\Windows\System32\DRIVERS\bd0003.sys
C:\Windows\System32\DRIVERS\BDArKit.sys
C:\Windows\SysWOW64\DRIVERS\BDArKit.sys
C:\Windows\System32\DRIVERS\BDMNetMon.sys
C:\Windows\System32\DRIVERS\BDMWrench_x64.sys
C:\Windows\system32\drivers\BDSafeBrowser.sys
NETSVCx32: KBDMAI -> No ServiceDLL Path.
NETSVCx32: d3dadapter -> No ServiceDLL Path.
NETSVCx32: ir16_32 -> No ServiceDLL Path.
NETSVCx32: wlanmgr -> No ServiceDLL Path.
2015-01-20 10:55 - 2015-01-20 10:55 - 0000024 ___SH () C:\Users\BUH\AppData\Roaming\1D959CA221C7573.sys
Task: {4168C74C-ECEA-4D48-B1D4-11B2ED942DEF} - \iqkgudl No Task File <==== ATTENTION
Task: {D2F0A4A0-99B3-4407-B9FA-850F191ACFFC} - \Express FilesUpdate No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:D8999815
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815
EmptyTemp:
Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

[Arturko]

вот

AdwCleanerR0.txt

Fixlog.txt

[mike 1]

1.

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2. Сделайте новые логи Farbar из обычного режима. 

[Arturko]

вот

Addition.txt

AdwCleanerS0.txt

FRST.txt

[mike 1]

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
Folder: C:\Users\BUH\AppData\Roaming\UniCryptH
Folder: C:\35227201017402
2015-01-28 08:05 - 2014-10-27 08:29 - 00473553 _____ () C:\Windows\SysWOW64\ir16_32.dat

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

 

 

[Arturko]

Вот

Fixlog.txt

[mike 1]

Логи в порядке. С расшифровкой не поможем. 

 

http://forum.kaspersky.com/index.php?showtopic=314866

[Arturko]

Спасибо за ваше время

Спасибо за ваше время