Вирус шифровальщик *zmsgrcl

29 января, 2015

Здравствуйте! Вирус зашифровал офисные файлы, .pdf, .jpeg, архивы. У всех файлов добавлено расширение .zmsgrcl

Прикрепляю 2 версии одного файла, зашифрованную и обычную, рабочую, так же CureIt нашел тело вируса(2 файла с одинаковым размером, но разными именами), временная активность совпадает с временем поражения. Так же прикрепляю логи. Пароль на архив infected

Заранее спасибо!

Строгое предупреждение от модератора Roman_Five

Зловреда выкладывать не надо!

CollectionLog-2015.01.29-11.52.zip

29 января, 2015

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):



begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

  then

   begin

    SearchRootkit(true, true);

    SetAVZGuardStatus(true);

   end;

 ClearQuarantine;

 QuarantineFile('C:\DOCUME~1\KRASIL~1\LOCALS~1\Temp\oosqnsl.exe','');

 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Search Protection\SearchProtection.exe','');

 QuarantineFile('C:\Documents and Settings\All Users\Application Data\ADMIN\svchost.exe','');

 DeleteFile('C:\Documents and Settings\All Users\Application Data\ADMIN\svchost.exe','32');

 DeleteFile('C:\Documents and Settings\All Users\Application Data\Search Protection\SearchProtection.exe','32');

 DeleteFile('C:\DOCUME~1\KRASIL~1\LOCALS~1\Temp\oosqnsl.exe','32');

 DeleteFile('C:\WINDOWS\Tasks\lkdozqd.job','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Lan_service','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Search Protection','command');

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);

 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Search Protection');

 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Lan_service');

 DeleteFileMask('C:\Documents and Settings\All Users\Application Data\Search Protection', '*', true, ' ');

 DeleteDirectory('C:\Documents and Settings\All Users\Application Data\Search Protection');  

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(false);

end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:



begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).



R3 - URLSearchHook: (no name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - (no file)

Сделайте новые логи Автологгером.

В следующем вашем ответе мне требуются следующие отчеты:

1. CollectionLog-yyyy.mm.dd-hh.mm.zip

30 января, 2015

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

SearchProtection.exe

Вредоносный код в файле не обнаружен.

svchost.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.   Requests from licensed users, which have been sent from the Dashboard (https://my.kaspersky.com/en/support/viruslab) or CompanyAccount (https://companyaccount.kaspersky.com) will also receive a response from a virus analyst.

SearchProtection.exe

No malicious code was found in this file.

svchost.exe

An unknown file has been received. It will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

--------------------------------------------------------------------------------
From: [скрыто]
Sent: 1/30/2015 6:33:02 AM
To: newvirus@kaspersky.com
Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:1]

LANG: ru

description:
Выполняется запрос хэлпера

Загруженные файлы:
quarantine.zip

Еще одно письмо.

Здравствуйте,

SearchProtection.exe

Вредоносный код в файле не обнаружен.

svchost.exe - Trojan.Win32.Reconyc.dqrj

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

Свежий лог

Сообщение от модератора

Скрыта почта

CollectionLog-2015.01.30-14.35.zip

Изменено 30 января, 2015 пользователем mike 1
Скрыта почта

30 января, 2015

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
```
CreateRestorePoint:

Folder: C:\Documents and Settings\All Users\Application Data\ADMIN
```

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

30 января, 2015

Последний лог

Fixlog.txt

30 января, 2015

Логи в порядке. С расшифровкой не поможем.

http://forum.kaspersky.com/index.php?showtopic=314866

30 января, 2015

Жаль... Благодорю за потраченное время!

Вирус шифровальщик *zmsgrcl

Рекомендуемые сообщения

СергейПенза 0

Ссылка на сообщение

Поделиться на другие сайты

mike 1 1 044

Ссылка на сообщение

Поделиться на другие сайты

СергейПенза 0

Ссылка на сообщение

Поделиться на другие сайты

mike 1 1 044

Ссылка на сообщение

Поделиться на другие сайты

СергейПенза 0

Ссылка на сообщение

Поделиться на другие сайты

mike 1 1 044

Ссылка на сообщение

Поделиться на другие сайты

СергейПенза 0

Ссылка на сообщение

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum