Словил вирус-шифровщик, нужна помощь

[Андрей Ионов]

Словил в интернете вирус, который зашифровал все личные данные (документы, фото, видео, музыку) и создал в каждом диске 10 текстовых readme файлов со следующим текстом:

 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

E7ECF7BA5E98474A04B5|0

на электронный адрес decode010@gmail.com или decode1110@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

E7ECF7BA5E98474A04B5|0

to e-mail address decode010@gmail.com or decode1110@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

 

Прочел форум, сказано было, что для каждого случая подобного отдельную тему создавать для возможности восстановления данных. Скачал с вашего сайта автологер, в приложении лог его работы.

 

Очень надеюсь на вашу помощь и заранее благодарю за поддержку.

CollectionLog-2015.07.11-22.23.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\user\AppData\Local\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('C:\Users\user\AppData\Roaming\newSI_2149\s_inst.exe','');
QuarantineFile('C:\Users\user\AppData\Roaming\eTranslator\eTranslator.exe','');
QuarantineFile('C:\Users\user\AppData\Roaming\Browsers\exe.resworb.bat','');
QuarantineFile('C:\Users\user\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\user\AppData\Roaming\Browsers\exe.emorhc.bat','');
DeleteService('storegidfilter');
SetServiceStart('wsfd_vt_1_10_0_20', 4);
DeleteService('wsfd_vt_1_10_0_20');
SetServiceStart('skinapp', 4);
DeleteService('skinapp');
SetServiceStart('innfd_1_10_0_14', 4);
DeleteService('innfd_1_10_0_14');
DeleteService('vicoqudu');
DeleteService('Oexufafono');
DeleteService('pylizyku');
QuarantineFile('C:\Users\user\AppData\Roaming\8E028655-1436353922-2F51-F20E-159E5ABAE778\knseD181.tmp','');
DeleteService('lehepusi');
DeleteService('insvc_1.10.0.14');
DeleteService('csrcc');
DeleteService('8dadad2f-d980-4b45-ab50-b9af125601a7');
SetServiceStart('wssvc_1.10.0.20', 4);
DeleteService('wssvc_1.10.0.20');
SetServiceStart('IHProtect Service', 4);
DeleteService('IHProtect Service');
QuarantineFile('C:\Windows\system32\drivers\wsfd_vt_1_10_0_20.sys','');
QuarantineFile('C:\Windows\skinapp.sys','');
QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','');
QuarantineFile('C:\Windows\system32\Oexufafono.dll','');
TerminateProcessByName('c:\program files (x86)\wordshark_1.10.0.20\service\wssvc.exe');
QuarantineFile('c:\program files (x86)\wordshark_1.10.0.20\service\wssvc.exe','');
TerminateProcessByName('c:\program files (x86)\miuitab\protectservice.exe');
QuarantineFile('c:\program files (x86)\miuitab\protectservice.exe','');
DeleteFile('c:\program files (x86)\miuitab\protectservice.exe','32');
DeleteFile('c:\program files (x86)\wordshark_1.10.0.20\service\wssvc.exe','32');
DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32');
DeleteFile('C:\Windows\skinapp.sys','32');
DeleteFile('C:\Windows\system32\drivers\wsfd_vt_1_10_0_20.sys','32');
DeleteFile('8dadad2f-d980-4b45-ab50-b9af125601a7.sys','32');
DeleteFile('csrcc.sys','32');
DeleteFile('insvc_1.10.0.14','32');
DeleteFile('C:\Users\user\AppData\Roaming\8E028655-1436353922-2F51-F20E-159E5ABAE778\knseD181.tmp','32');
DeleteFile('Oexufafono.sys','32');
DeleteFile('pylizyku.sys','32');
DeleteFile('sedococo.sys','32');
DeleteFile('vicoqudu.sys','32');
DeleteFile('storegidfilter.sys','32');
DeleteFile('C:\Users\user\AppData\Roaming\Browsers\exe.emorhc.bat','32');
DeleteFile('C:\Users\user\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Users\user\AppData\Roaming\Browsers\exe.resworb.bat','32');
DeleteFile('C:\Users\user\AppData\Roaming\eTranslator\eTranslator.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eTranslator Update','command');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\Windows\Tasks\newSI_2149.job','64');
DeleteFile('C:\Users\user\AppData\Roaming\newSI_2149\s_inst.exe','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\Windows\system32\Tasks\newSI_2149','64');
DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
DeleteFile('C:\Users\user\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
DeleteFile('C:\Windows\system32\Oexufafono.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(15);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.
  
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  
• Прикрепите этот отчет к своему следующему сообщению.
  

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[Андрей Ионов]

Все сделал, как вы и сказали, но ответа от newvirus@kaspersky.com нет. Прикрепляю логи после повторного выполнения правил и отчет

CollectionLog-2015.07.12-19.50.zip

ClearLNK-12.07.2015_19-58.log

Изменено 12 июля, 2015 пользователем Андрей Ионов

[thyrex]

Сделайте лог полного сканирования МВАМ

[Андрей Ионов]

Сделал. Вот лог

MBAM.txt

[thyrex]

Удалите в МВАМ все найденное

[Андрей Ионов]

Готово

[Roman_Five]

новый лог MBAM приложите

[thyrex]

+ Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Андрей Ионов]

Сделано. Вот логи/отчеты

MBAM1.txt

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-838715631-71472802-3414048137-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ceb7a9517fd96d9a675775556588d470&text={searchTerms}
HKU\S-1-5-21-838715631-71472802-3414048137-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ceb7a9517fd96d9a675775556588d470&text={searchTerms}
URLSearchHook: HKU\S-1-5-21-838715631-71472802-3414048137-1000 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ceb7a9517fd96d9a675775556588d470&text= <==== ATTENTION
Winsock: Catalog9-x64 01 C:\Windows\system32\Oexufafono64.dll File Not ' & $found1 & '
Winsock: Catalog9-x64 02 C:\Windows\system32\Oexufafono64.dll File Not ' & $found1 & '
Winsock: Catalog9-x64 03 C:\Windows\system32\Oexufafono64.dll File Not ' & $found1 & '
Winsock: Catalog9-x64 04 C:\Windows\system32\Oexufafono64.dll File Not ' & $found1 & '
Winsock: Catalog9-x64 15 C:\Windows\system32\Oexufafono64.dll File Not ' & $found1 & '
FF user.js: detected! => C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2015-07-09]
FF Extension: Ads Removal - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\adremoveext@adremoveext.net [2014-10-25]
FF Extension: SuperMegaBest.com - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2014-07-01]
FF HKLM\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\user\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack
FF Extension: SuperMegaBest.com - C:\Users\user\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack [2015-02-27]
FF HKLM-x32\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\user\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2014-08-31]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-08-31]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-08-31]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\bfegaehidkkcfaikpaijcdahnpikhobf [2014-09-04]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgomnbpelpcdicbnicimghcecemjpbef [2015-03-08]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-08-31]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\cegdomhocaeoedbdpfolmgjkjaijfomo [2015-03-08]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjpalhdlnbpafiamejdnhcphjbkeiagm [2015-07-08]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-08-31]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\ddgcpabamadfhbaambaijdhdkkijlaea [2015-03-11]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2014-08-31]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpkfeniokfjiafdamlfhjoojlndpcaji [2015-03-11]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-16]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl [2014-12-28]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdanidgdpmkimeiiojknlnekblgmpdll [2014-09-04]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\mmcegpfdgcoclcdfkjahiimlikdpnina [2014-09-17]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-08-31]
CHR Extension: (No Name) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-08-31]
CHR HKLM-x32\...\Chrome\Extension: [bgomnbpelpcdicbnicimghcecemjpbef] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cegdomhocaeoedbdpfolmgjkjaijfomo] - https://clients2.google.com/service/update2/crx
S2 UfockFuloxo; No ImagePath
2015-07-09 07:54 - 2015-07-09 07:54 - 00000000 ____D C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\skinapp
2015-07-09 07:25 - 2015-07-11 05:11 - 00000000 ____D C:\Users\user\AppData\Local\SmartWeb
2015-07-09 00:31 - 2015-07-09 00:31 - 03932214 _____ C:\Users\user\AppData\Roaming\CE5407D4CE5407D4.bmp
2015-07-08 19:35 - 2015-07-10 14:56 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-07-08 19:35 - 2015-07-10 14:56 - 00000000 __SHD C:\ProgramData\Windows
2015-07-08 14:12 - 2015-07-10 04:42 - 00000000 ____D C:\Users\user\AppData\Roaming\8E028655-1436353922-2F51-F20E-159E5ABAE778
2015-07-08 14:12 - 2015-07-08 14:09 - 00000855 _____ C:\Windows\system32\Drivers\etc\hp.bak
2015-07-08 14:09 - 2015-07-11 23:19 - 00000000 ____D C:\Users\user\AppData\Roaming\Browsers
2015-07-08 14:09 - 2015-07-08 14:09 - 00000000 ____D C:\Users\user\AppData\Roaming\SPI
2015-07-08 23:29 - 2014-08-12 01:06 - 00000000 ____D C:\Users\user\AppData\Local\storegid
2015-05-03 17:21 - 2015-03-31 19:00 - 0200992 ____H (Яндекс) C:\Users\user\AppData\Roaming\YаndехDiskStаrtеr.bаt.exe
2015-05-03 17:21 - 2015-03-31 19:00 - 3989280 ____H (Яндекс) C:\Users\user\AppData\Roaming\YаndехDiskSсrееnshоtЕditоr.bаt.exe
2015-05-03 17:21 - 2015-05-03 17:21 - 0000146 ____H () C:\Users\user\AppData\Local\chrome.bat
2015-05-03 17:21 - 2015-04-02 13:45 - 0709120 ____H (The Orbitum Authors) C:\Users\user\AppData\Local\сhrоmе.bаt.exe
Task: {1E891AAE-48AE-49A0-BAEE-05196B6C8D50} - \WordShark Auto Updater 1.10.0.20 Pending Update No Task File <==== ATTENTION
Task: {C284DFB4-4EF6-49D5-9107-322621B5C55C} - \Dlvfecrd No Task File <==== ATTENTION
Task: {EB0EEE0C-9FEB-4C17-9037-FC071DD160B9} - \WordShark Auto Updater 1.10.0.20 Core No Task File <==== ATTENTION
Task: {F5904EF0-D34C-4F06-B312-2D9AB20BFA2A} - \SmartWeb Upgrade Trigger Task No Task File <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Oexufafono => ""="service"
FirewallRules: [{296C0A11-5412-419E-A754-26F82C5550C0}] => (Allow) C:\program files (x86)\common files\baidu\bddownload\109\bddownloader.exe
CMD: netsh winsock reset

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

[Андрей Ионов]

Готово

Fixlog.txt

AdwCleanerR0.txt

[Roman_Five]

удалите всё найденное в AdwCleaner

приложите новые логи FRST и AdwCleaner

[Андрей Ионов]

Готово

AdwCleanerR2.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

•  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:


2015-07-13 21:27 - 2015-05-03 17:24 - 00000008 __RSH C:\Users\Все пользователи\ntuser.pol
2015-07-13 21:27 - 2015-05-03 17:24 - 00000008 __RSH C:\ProgramData\ntuser.pol

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

 

Изменено 14 июля, 2015 пользователем mike 1