Зашифрованные файлы вирус от 10.2014

[мфв]

все файлы имеют вид

Сан-эпид..doc.id-{RLXLYKVHSFPBMYLVHSDPAMXJTFPBMXHUFQAM-08.10.2014 14@19@289182866}-email-mserbinov@onionmail.in-ver-4.0.0.0.cbf

 

действовал по инструкции

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

в итоге нашел шифровщик и 6 папок с логами, расшифровать файлы тремя утилитами не получилось  RannohDecryptor.exe XoristDecryptor RectorDecryptor. 

 

запустил AutoLogger [regist & Drongo] 3.03.2015

 

 

выкладываю результат

 

заранее благодарю за помощь

 

 

CollectionLog-2015.03.10-19.23.zip

report2.log

report1.log

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\PROGRA~1\WEBMAS~1\INSTALL.LOG','');
 QuarantineFile('C:\PROGRA~1\WEBMAS~1\UNWISE.EXE','');
 QuarantineFile('C:\Users\sneipas\AppData\Local\Temp\329991.exe','');
 QuarantineFile('C:\Users\sneipas\AppData\Local\Temp\26638917FdOh','');
 DeleteFile('C:\Users\sneipas\AppData\Local\Temp\26638917FdOh','32');
 DeleteFile('C:\Users\sneipas\AppData\Local\Temp\329991.exe','32');
 DeleteFile('C:\Windows\Tasks\At1.job','32');
 DeleteFile('C:\Windows\system32\Tasks\At1','32');
 DeleteFile('C:\Windows\system32\Tasks\jj','32');
 DeleteFile('C:\Windows\system32\Tasks\vikl','32');
 DeleteFile('C:\Windows\system32\Tasks\viklu','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\26639151','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Shell','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2ff866f6e2a3403b95ab885093885cdf79d84ea9775e','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.

Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.

 

Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;

2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;

3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;

4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;

5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.

Важно: размер архива не должен превышать 15 МБ;

6) В строке EMail укажите адрес своей электронной почты;

7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

 

Полученный через электронную почту ответ сообщите в этой теме.

 

Сделайте новые логи по правилам (только пункт 3).

 

+

приложите логи Farbar Recovery Scan Tool

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

[мфв]

делаю все по методике. после первого скрипта перегружается. потом второй запусксаю - пишет "скрипт выполнен без ошибок", но никакого архива Quarantine.zip в папке нет

есть папка  Quarantine и в ней еще одна с датой, а в той несколько файлов с расширением .ini

хотя после первого скрипта были красные записи о предстоящем удалении каких-то файлов после перезагрузки

этих файлов не нашел на винте

 QuarantineFile('C:\Users\sneipas\AppData\Local\Temp\329991.exe','');
 QuarantineFile('C:\Users\sneipas\AppData\Local\Temp\26638917FdOh','');
 DeleteFile('C:\Users\sneipas\AppData\Local\Temp\26638917FdOh','32');
 DeleteFile('C:\Users\sneipas\AppData\Local\Temp\329991.exe','32');
 DeleteFile('C:\Windows\Tasks\At1.job','32');
 DeleteFile('C:\Windows\system32\Tasks\At1','32');
 DeleteFile('C:\Windows\system32\Tasks\jj','32');
 DeleteFile('C:\Windows\system32\Tasks\vikl','32');
 DeleteFile('C:\Windows\system32\Tasks\viklu','32');

8 файлов .ini

вот что внутри последнего

 

[infectedFile]

Src=\??\C:\Users\sneipas\AppData\Local\Temp\26638917FdOh

Infected=bcqr00008.dat

Virus=BootCleaner quarantine

Size=0

CopyStatus=C0000034

[мфв]

еще раз запустил AutoLogger [regist & Drongo] 3.03.2015

 

он не создал архив. странно. и комп все время что-то перелопачивает. 

винт гудит не останавливаясь

не проводится поиск маскировки процессов (пункт. 1.4) - драйвер не загружен.

второй раз комп перегружается и снова запускается одно и тоже.

это нормально?

[Roman_Five]

выполните такой скрипт для создания карантина.

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

 

Сделайте новые логи по правилам (только пункт 3).   + приложите логи Farbar Recovery Scan Tool http://forum.kaspers...611?do=findComment&comment=647696

[мфв]

еще раз запустил AutoLogger [regist & Drongo] 3.03.2015  - архив лгов создался
скинул его  на портал Kaspersky Virus Desk.
 

выполните такой скрипт для создания карантина.

 
выполнил, архив внутри пустой
 

Сделайте новые логи по правилам (только пункт 3).   + приложите логи Farbar Recovery Scan Tool

 
сделал.
сюда кинуть не могу, пропало вложение файлов к сообщениям (((

нашел. прикрепляю

комп молотит не переставая. красный светодиод винта мигает круглые сутки

 

Сообщение от модератора Mark D. Pearlstone

Не выкладывайте карантин на форум. Файл удалён.

Addition.txt

FRST.txt

[Roman_Five]

 

 

нашел. прикрепляю

не карантин, а логи автологгера.
 

\\

что в этих файлах?

2015-03-05 21:26 - 2015-03-05 21:26 - 01831041 _____ () C:\Users\Userfiles.rar
2015-03-05 21:08 - 2015-03-05 21:08 - 01827326 _____ () C:\Users\Users.rar
2015-03-05 20:49 - 2015-03-05 20:50 - 02652001 _____ () C:\Users\Cryakl.rar

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:

HKU\S-1-5-21-3081095649-4093069345-1553879287-1000\...\Winlogon: [Shell] 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
URLSearchHook: HKU\S-1-5-21-3081095649-4093069345-1553879287-1000 - (No Name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} -  No File
BHO: Megaupload Toolbar -> {A057A204-BACC-4D26-C39E-35F1D2A32EC8} ->  No File
Toolbar: HKLM - Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} -  No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-3081095649-4093069345-1553879287-1000 -> Megaupload Toolbar
Toolbar: HKU\S-1-5-21-3081095649-4093069345-1553879287-1000 -> Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} -  No File
CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - http://clients2.google.com/service/update2/crx
Gyazo-2.3.0.exe
2015-03-05 19:43 - 2015-03-05 19:43 - 00000000 ____D () C:\Users\sneipas\AppData\Roaming\Gyazo
2015-03-05 19:42 - 2015-03-05 20:44 - 00000000 ____D () C:\Program Files\Gyazo
2015-03-05 19:42 - 2015-03-05 19:42 - 00000779 _____ () C:\Users\Public\Desktop\Gyazo.lnk
2015-03-05 19:42 - 2015-03-05 19:42 - 00000779 _____ () C:\Users\Public\Desktop\Gyazo GIF.lnk
2015-03-05 19:42 - 2015-03-05 19:42 - 00000779 _____ () C:\ProgramData\Desktop\Gyazo.lnk
2015-03-05 19:42 - 2015-03-05 19:42 - 00000779 _____ () C:\ProgramData\Desktop\Gyazo GIF.lnk
2015-03-05 19:42 - 2015-03-05 19:42 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gyazo
2015-03-05 19:41 - 2015-03-05 19:42 - 09698760 _____ (Nota Inc. ) C:\Users\sneipas\Downloads\Gyazo-2.3.0.exe
HKU\S-1-5-21-3081095649-4093069345-1553879287-1000\...\Run: [Gyazo] => C:\Program Files\Gyazo\GyStation.exe [3095840 2014-10-27] (Nota Inc.)
Task: {68896F2C-FFB8-436E-9280-85F73348DDF7} - \viklu No Task File <==== ATTENTION
Task: {8D7E7A36-E760-44A4-A8C8-96DBACF8A5AB} - \jj No Task File <==== ATTENTION
Task: {F09D320A-2FB3-4467-A926-8FC031F004F5} - \vikl No Task File <==== ATTENTION
Task: {F8EB512E-BDF4-41BC-9FDA-A468FC5839AA} - \At1 No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:0C1EFF69
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC

Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

[мфв]

что в этих файлах?

2015-03-05 21:26 - 2015-03-05 21:26 - 01831041 _____ () C:\Users\Userfiles.rar

2015-03-05 21:08 - 2015-03-05 21:08 - 01827326 _____ () C:\Users\Users.rar

2015-03-05 20:49 - 2015-03-05 20:50 - 02652001 _____ () C:\Users\Cryakl.rar

 

 

 

это запаролленные архивы

два архива зашифрованных файлов- 6 расширений и один архив того самого вируса.

я вам их отсылал.

 

сейчас на компе работает какая-то прога - "randoms system informations toola - rabdom/random"

не знаю откуда появилась

 "random's system information tool - random/random"

 

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

 

 

 

 

не видит fixlist.txt  - хотя они в одной папке на рабочем столе размещены. странно

упс, пробел в имени в начале оказался 

прикрепляю фикслог.

 

Спасибо!

 

Fixlog.txt

[Roman_Five]

 

 

не карантин, а логи автологгера.

так и не прикрепили.

[мфв]

извините, думал по емайл вы получили

 

оба лога

первого раза и второго

 

 

CollectionLog-2015.03.12-00.10.zip

CollectionLog-2015.03.10-19.23.zip

[мфв]

от меня что-нибудь еще нужно кроме терпения?

комп не выключаю, но он перестал молотить... притих...

[мфв]

опять молотит...

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteFile('C:\Users\sneipas\AppData\Local\Temp\26638917FdOh','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Shell','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\26639151','command');
DeleteFile('C:\Users\sneipas\AppData\Local\Temp\329991.exe','32');
DeleteFile('C:\Windows\system32\Tasks\At1','32');
DeleteFile('C:\Windows\Tasks\At1.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Сделайте новые логи по правилам

[мфв]

Добрый вечер, высылаю новые логи

 

 

CollectionLog-2015.03.20-16.09.zip

[thyrex]

Ничего плохого в логах