Еще один вирус шифровальщик

[Yad]

Добрый день, просьба помочь.

 

Прикладываю скриншот экрана в архиве file.zip,так же файлы - оригинал и шифрованный...

file.7z

CollectionLog-2015.07.20-09.42.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\system32\romwln.dll','');
QuarantineFile('C:\Program Files (x86)\WordShark_1.10.0.20\Update\WordSharkAutoUpdateClient.exe','');
QuarantineFile('C:\Users\n7100-00-297\AppData\Roaming\WindowsUpdater\Updater.exe','');
QuarantineFile('C:\Program Files (x86)\ShopperPro\JSDriver\1.42.1.2144\jsdrv.exe','');
QuarantineFile('C:\Program Files (x86)\ShopperPro\ShopperPro.exe','');
QuarantineFile('C:\Program Files (x86)\iWebar\7836a71c-3b39-4c7f-8654-d073679be755-5.exe','');
DelBHO('{A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C}');
DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}');
QuarantineFile('C:\Program Files (x86)\MiuiTab\SupTab.dll','');
QuarantineFile('C:\ProgramData\ShopperPro\ShopperPro.dll','');
QuarantineFile('c:\users\n7100-00-297\appdata\roaming\11496218\svchost.exe','');
QuarantineFile('C:\Users\n7100-00-297\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\n7100-00-297\AppData\Roaming\Browsers\exe.emorhc.bat','');
QuarantineFile('C:\Users\N7100-~1\AppData\Local\Temp\003b4885.exe','');
QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
QuarantineFile('C:\Program Files (x86)\skinapp\skinapp.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\PROGRA~3\LOCALS~1\Temp\msthiycrf.pif','');
DeleteService('SPDRIVER_1.42.1.2144');
SetServiceStart('wsfd_vt_1_10_0_20', 4);
DeleteService('wsfd_vt_1_10_0_20');
DeleteService('Util Coupon Time');
QuarantineFile('Util Coupon Time.sys','');
QuarantineFile('Update Coupon Time.sys','');
SetServiceStart('Update Coupon Time', 4);
DeleteService('Update Coupon Time');
QuarantineFile('C:\Windows\system32\drivers\wsfd_vt_1_10_0_20.sys','');
QuarantineFile('C:\Windows\system32\drivers\{944009a5-dde1-4778-861e-fb4fc61382dd}Gw64.sys','');
QuarantineFile('C:\Program Files (x86)\MiuiTab\IeWatchDog.dll','');
QuarantineFile('C:\Program Files (x86)\MiuiTab\BrowerWatchCH.dll','');
TerminateProcessByName('c:\program files (x86)\wordshark_1.10.0.20\service\wssvc.exe');
QuarantineFile('c:\program files (x86)\wordshark_1.10.0.20\service\wssvc.exe','');
TerminateProcessByName('c:\program files (x86)\coupon time\updatecoupontime.exe');
QuarantineFile('c:\program files (x86)\coupon time\updatecoupontime.exe','');
TerminateProcessByName('c:\users\n7100-00-297\appdata\roaming\nightupdate\svchost.exe');
QuarantineFile('c:\users\n7100-00-297\appdata\roaming\nightupdate\svchost.exe','');
TerminateProcessByName('c:\program files (x86)\miuitab\protectservice.exe');
QuarantineFile('c:\program files (x86)\miuitab\protectservice.exe','');
TerminateProcessByName('c:\program files (x86)\miuitab\hpnotify.exe');
QuarantineFile('c:\program files (x86)\miuitab\hpnotify.exe','');
TerminateProcessByName('C:\Windows\System32\cpuminer-gw64.exe');
QuarantineFile('C:\Windows\System32\cpuminer-gw64.exe','');
TerminateProcessByName('C:\Program Files (x86)\Coupon Time\bin\CouponTime.PurBrowse64.exe');
QuarantineFile('C:\Program Files (x86)\Coupon Time\bin\CouponTime.PurBrowse64.exe','');
TerminateProcessByName('c:\program files (x86)\miuitab\cmdshell.exe');
QuarantineFile('c:\program files (x86)\miuitab\cmdshell.exe','');
TerminateProcessByName('c:\program files (x86)\coupon time\bin\coupontime.expext.exe');
QuarantineFile('c:\program files (x86)\coupon time\bin\coupontime.expext.exe','');
DeleteFile('c:\program files (x86)\coupon time\bin\coupontime.expext.exe','32');
DeleteFile('c:\program files (x86)\miuitab\cmdshell.exe','32');
DeleteFile('C:\Program Files (x86)\Coupon Time\bin\CouponTime.PurBrowse64.exe','32');
DeleteFile('C:\Windows\System32\cpuminer-gw64.exe','32');
DeleteFile('c:\program files (x86)\miuitab\hpnotify.exe','32');
DeleteFile('c:\program files (x86)\miuitab\protectservice.exe','32');
DeleteFile('c:\users\n7100-00-297\appdata\roaming\nightupdate\svchost.exe','32');
DeleteFile('c:\program files (x86)\coupon time\updatecoupontime.exe','32');
DeleteFile('c:\program files (x86)\wordshark_1.10.0.20\service\wssvc.exe','32');
DeleteFile('C:\Program Files (x86)\MiuiTab\BrowerWatchCH.dll','32');
DeleteFile('C:\Program Files (x86)\MiuiTab\IeWatchDog.dll','32');
DeleteFile('C:\Windows\system32\drivers\{944009a5-dde1-4778-861e-fb4fc61382dd}Gw64.sys','32');
DeleteFile('C:\Windows\system32\drivers\wsfd_vt_1_10_0_20.sys','32');
DeleteFile('Update Coupon Time.sys','32');
DeleteFile('Util Coupon Time.sys','32');
DeleteFile('SPDRIVER_1.42.1.2144','32');
DeleteFile('C:\PROGRA~3\LOCALS~1\Temp\msthiycrf.pif','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','49931');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\Program Files (x86)\skinapp\skinapp.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\skinapp','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule');
DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32');
DeleteFile('C:\Users\N7100-~1\AppData\Local\Temp\003b4885.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command');
DeleteFile('C:\Users\n7100-00-297\AppData\Roaming\Browsers\exe.emorhc.bat','32');
DeleteFile('C:\Users\n7100-00-297\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','UpdateSvchost');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','z64_kernel');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','z64_kernel');
DeleteFile('c:\users\n7100-00-297\appdata\roaming\11496218\svchost.exe','32');
DeleteFile('C:\ProgramData\ShopperPro\ShopperPro.dll','32');
DeleteFile('C:\Program Files (x86)\MiuiTab\SupTab.dll','32');
DeleteFile('C:\Windows\Tasks\735f798c-66a0-4840-b3ca-f49e26d5380f-5.job','64');
DeleteFile('C:\Windows\Tasks\735f798c-66a0-4840-b3ca-f49e26d5380f-5_user.job','64');
DeleteFile('C:\Windows\Tasks\7836a71c-3b39-4c7f-8654-d073679be755-5_user.job','64');
DeleteFile('C:\Program Files (x86)\iWebar\7836a71c-3b39-4c7f-8654-d073679be755-5.exe','32');
DeleteFile('C:\Windows\Tasks\7836a71c-3b39-4c7f-8654-d073679be755-5.job','64');
DeleteFile('C:\Windows\system32\Tasks\735f798c-66a0-4840-b3ca-f49e26d5380f-5','64');
DeleteFile('C:\Windows\system32\Tasks\735f798c-66a0-4840-b3ca-f49e26d5380f-5_user','64');
DeleteFile('C:\Windows\system32\Tasks\7836a71c-3b39-4c7f-8654-d073679be755-5','64');
DeleteFile('C:\Windows\system32\Tasks\7836a71c-3b39-4c7f-8654-d073679be755-5_user','64');
DeleteFile('C:\Windows\system32\Tasks\ShopperPro','64');
DeleteFile('C:\Program Files (x86)\ShopperPro\ShopperPro.exe','32');
DeleteFile('C:\Program Files (x86)\ShopperPro\JSDriver\1.42.1.2144\jsdrv.exe','32');
DeleteFile('C:\Windows\system32\Tasks\WindowsUpdater','64');
DeleteFile('C:\Windows\system32\Tasks\SPDriver','64');
DeleteFile('C:\Users\n7100-00-297\AppData\Roaming\WindowsUpdater\Updater.exe','32');
DeleteFile('C:\Program Files (x86)\WordShark_1.10.0.20\Update\WordSharkAutoUpdateClient.exe','32');
DeleteFile('C:\Windows\system32\Tasks\WordShark Auto Updater 1.10.0.20 Core','64');
DeleteFile('C:\Windows\system32\Tasks\WordShark Auto Updater 1.10.0.20 Pending Update','64');
DeleteFile('C:\Windows\system32\romwln.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

[Yad]

KLAN-2988771639

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.    

{944009a5-dde1-4778-861e-fb4fc61382dd}Gw64.sys,
coupontime.expext.exe,
CouponTime.PurBrowse64.exe,
cpuminer-gw64.exe,
updatecoupontime.exe,
wsfd_vt_1_10_0_20.sys
BrowerWatchCH.dll

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

003b4885.exe - Trojan.Win32.VBKryjetor.vxg
msthiycrf.pif - Backdoor.Win32.Androm.hmxt
svchost.exe - Trojan.Win32.Reconyc.eojf

Детектирование файлов будет добавлено в следующее обновление.

cmdshell.exe - not-a-virus:AdWare.Win32.SearchProtect.ti
hpnotify.exe - not-a-virus:AdWare.Win32.SearchProtect.tb
IeWatchDog.dll - not-a-virus:AdWare.Win32.ELEX.bd
protectservice.exe - not-a-virus:AdWare.Win32.ELEX.be
ShopperPro.dll - not-a-virus:AdWare.Win32.Shopper.vqb
SupTab.dll - not-a-virus:AdWare.Win32.SubTab.j
wssvc.exe - not-a-virus:AdWare.Win32.Vitruvian.o

Это файлы от рекламной системы. Детектирование файлов будет добавлено в    следующее обновление расширенного набора баз. Подробная информация о    расширенных базах: http://www.kaspersky.ru/extraavupdates

romwln.dll - not-a-virus:RemoteAdmin.Win32.ROM.ap

Этот файл уже детектируется нашими расширенными базами как потенциально опасное программное обеспечение.

svchost_0.exe - Trojan.Win32.Fsysna.byam

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

Updater.exe - not-a-virus:Downloader.MSIL.Agent.gld

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

WordSharkAutoUpdateClient.exe

Вредоносный код в файле не обнаружен.

CollectionLog-2015.07.20-11.56.zip

[thyrex]

Сделайте лог полного сканирования МВАМ

[Yad]

прикрепил

шифрова.txt

[thyrex]

Удалите в МВАМ все найденное

[Yad]

Сделал, вот лог...

шифр.txt

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Yad]

Прикрепил

Addition.txt

FRST.txt

[Roman_Five]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:

Task: {62E0EB67-5136-432A-A1B8-E342F0BE63F9} - \chrome5 No Task File <==== ATTENTION
Task: {C32E0138-BA28-426B-B81A-4A6D2AB23E24} - \chrome5_logon No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:D78D6FF7
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D78D6FF7
HKLM-x32\...\Run: [] => [X]
GroupPolicyScripts: Group Policy detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-116022207-583602576-2121419680-1552373\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-116022207-583602576-2121419680-1552373 -> No Name - {4F524A2D-5354-2D53-5045-7A786E7484D7} -  No File

Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

+
приложите лог ADwCleraner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

[Yad]

прикрепил

Fixlog.txt

AdwCleanerR0.txt

[Roman_Five]

удалите всё найденное в AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160
новый лог приложите

[Yad]

готово

AdwCleanerS0.txt

Изменено 23 июля, 2015 пользователем Yad

[Roman_Five]

при необходимости восстановите в AdwCleaner следующие строки:

Данные Удалено : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyServer] - 10.171.103.253:3128
Данные Удалено : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - *.tax.nalog.ru; n7100-app004; n7100-sponi5; m7837-app009; m7837-app077; 10.171.*; 10.251.*; 10.250.*; 10.197.*; <local>

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635162

 

с расшифровкой не поможем.
пробуйте:
1) http://virusinfo.info/showthread.php?t=156188
2) обратиться в ТП Вашего антивируса