Вирус-шифровальщик

[Арсен Омаров]

Всем привет! Прошу Вашей помощи! Сегодня к моей сестре на почту пришло письмо по работе! Она открыла и запустила файл который..в общем во вложении прикрепляю фото рабочего стола на котором сообщение:

 Твои файлы зашифрованы, если хочешь все вернуть, отправь 1 зашифрованный файл на эту почту

и т.д.

 

так же высылаю логи..

CollectionLog-2015.08.24-14.29.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\WINDOWS\system32\nethtsrv.exe','');
QuarantineFile('C:\WINDOWS\system32\hfpapi.dll','');
DelBHO('{09b9ffd2-3f38-4aaa-9155-b8412e2dc13e}');
DelBHO('{7d45bd15-9bad-46f6-824f-65efc5e1eba0}');
DelBHO('{85db5603-362a-4e8a-83d9-2e3fbd5bb09a}');
DelBHO('{959c2af5-1a3b-4c70-aa27-e31374691712}');
DelBHO('{b11d97ef-3c26-4035-89fe-d28648afdb2d}');
DelBHO('{ba02b147-b95c-491e-8ac7-037d0837133f}');
DelBHO('{c0014dbd-e7a5-459e-84a8-8fda848f25bb}');
DelBHO('{d85e41b1-6a89-4382-b4d2-1ef8de7e84d8}');
DelBHO('{e02f3229-1a26-4c25-b42b-680d7c43cd19}');
QuarantineFile('C:\Program Files\MediaBuzzV1\MediaBuzzV1mode8206\ie\MediaBuzzV1mode8206.dll','');
QuarantineFile('C:\Program Files\MediaWatchV1\MediaWatchV1home328\ie\MediaWatchV1home328.dll','');
QuarantineFile('C:\Program Files\MediaViewV1\MediaViewV1alpha3753\ie\MediaViewV1alpha3753.dll','');
QuarantineFile('C:\Program Files\MediaViewerV1\MediaViewerV1alpha1035\ie\MediaViewerV1alpha1035.dll','');
QuarantineFile('C:\Program Files\RichMediaViewV1\RichMediaViewV1release1129\ie\RichMediaViewV1release1129.dll','');
QuarantineFile('C:\Program Files\MediaViewV1\MediaViewV1alpha2761\ie\MediaViewV1alpha2761.dll','');
QuarantineFile('C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha501\ie\MediaPlayerV1alpha501.dll','');
QuarantineFile('C:\Program Files\VideoPlayerV3\VideoPlayerV3beta4682\ie\VideoPlayerV3beta4682.dll','');
QuarantineFile('C:\Program Files\TrustMediaViewerV1\TrustMediaViewerV1alpha3037\ie\TrustMediaViewerV1alpha3037.dll','');
QuarantineFile('C:\Program Files\explore.exe','');
DeleteFile('C:\Program Files\explore.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
DeleteFile('C:\Program Files\TrustMediaViewerV1\TrustMediaViewerV1alpha3037\ie\TrustMediaViewerV1alpha3037.dll','32');
DeleteFile('C:\Program Files\VideoPlayerV3\VideoPlayerV3beta4682\ie\VideoPlayerV3beta4682.dll','32');
DeleteFile('C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha501\ie\MediaPlayerV1alpha501.dll','32');
DeleteFile('C:\Program Files\MediaViewV1\MediaViewV1alpha2761\ie\MediaViewV1alpha2761.dll','32');
DeleteFile('C:\Program Files\RichMediaViewV1\RichMediaViewV1release1129\ie\RichMediaViewV1release1129.dll','32');
DeleteFile('C:\Program Files\MediaViewerV1\MediaViewerV1alpha1035\ie\MediaViewerV1alpha1035.dll','32');
DeleteFile('C:\Program Files\MediaViewV1\MediaViewV1alpha3753\ie\MediaViewV1alpha3753.dll','32');
DeleteFile('C:\Program Files\MediaWatchV1\MediaWatchV1home328\ie\MediaWatchV1home328.dll','32');
DeleteFile('C:\Program Files\MediaBuzzV1\MediaBuzzV1mode8206\ie\MediaBuzzV1mode8206.dll','32');
DeleteFile('C:\WINDOWS\system32\hfpapi.dll','32');
DeleteFile('C:\WINDOWS\system32\nethtsrv.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

[Арсен Омаров]

Re: Вирус-шифратор [KLAN-3076964782]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.    

hfpapi.dll

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

nethtsrv.exe - Trojan-Downloader.Win32.Agent.aaaje

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700   http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.    

hfpapi.dll

An unknown file has been received. It will be sent to the Virus Lab.

nethtsrv.exe - Trojan-Downloader.Win32.Agent.aaaje

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700   http://www.kaspersky.com http://www.viruslist.com"


--------------------------------------------------------------------------------
Sent: 8/24/2015 12:11:02 PM
To: newvirus@kaspersky.com
Subject: Вирус-шифратор



Отправляю к вам логи

Теперь повторно логи сформировать и прикрепить сюда?

[thyrex]

Именно так

[Арсен Омаров]

Сделано! Что дальше?

Именно так

Все повторил..что дальше?

CollectionLog-2015.08.24-16.29.zip

[thyrex]

Сделайте лог полного сканирования МВАМ

[Арсен Омаров]

Вот сохранил результат..а в программе надо нажимать на кнопку УДАЛИТЬ ВЫБРАННОЕ? Кстати..логи пустые получились...

Сделайте лог полного сканирования МВАМ

Logi.zip

[Арсен Омаров]

или нужно было сперва удалить нажать, и уже после сохранять лог?

[thyrex]

Сохранить, но ничего пока не удалять.

 

Лог пустой. Переделывайте

[Арсен Омаров]

Сохранить, но ничего пока не удалять.

 

Лог пустой. Переделывайте

Получилось! Высылаю лог

Лог во вложении

Logi.txt

Изменено 25 августа, 2015 пользователем Арсен Омаров

[thyrex]

Удалите в МВАМ все, кроме

PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|AntiVirusDisableNotify, 1, Хорошо: (0), Плохо: (1),,[0cfb9479cebd4de9687fbf95689dba46]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FirewallDisableNotify, 1, Хорошо: (0), Плохо: (1),,[eb1cec21632830068662aba9dd288977]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify, 1, Хорошо: (0), Плохо: (1),,[28dfe02d434873c342a7b1a3e12425db]
RiskWare.RAAmmyy, E:\Обменник\ИРИНА\ДЛЯ ИРИНЫ\Загрузки\AA_v3.5.exe, , [848326e7becdbc7ae74d8942bb4608f8], 

 

[Арсен Омаров]

 

Удалите в МВАМ все, кроме

PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|AntiVirusDisableNotify, 1, Хорошо: (0), Плохо: (1),,[0cfb9479cebd4de9687fbf95689dba46]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FirewallDisableNotify, 1, Хорошо: (0), Плохо: (1),,[eb1cec21632830068662aba9dd288977]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify, 1, Хорошо: (0), Плохо: (1),,[28dfe02d434873c342a7b1a3e12425db]
RiskWare.RAAmmyy, E:\Обменник\ИРИНА\ДЛЯ ИРИНЫ\Загрузки\AA_v3.5.exe, , [848326e7becdbc7ae74d8942bb4608f8], 

 

Удалил..что еще сделать?

[Арсен Омаров]

Кстати..повторил сканирование снова после удаления..он все те же вирусы нашел..короче эта программа ни чего не удалила..сейчас скачал "кор ай ти" от фирмы доктор веб и сканирую на вирусы.. Подскажете может еще что сделать?

[Roman_Five]

значит, не удаляли.
приложите новый лог MBAM

 

[Арсен Омаров]

значит, не удаляли.

приложите новый лог MBAM

Да ну так именно что удалял. Он выдавал сообщения что 228 объектов попали в карантин..и по завершению выдал, что для очистки необходимо перезагрузить комп..я согласился чтобы он его перезагрузил..но после этого комп не стал перезагружатся..и программа не закрылась..внизу программы появилась кнопка большая синяя ЗАВЕРШИТЬ..ну так я и завершил..он меня перекинул на свое главное окно и все..я не закрывая программный продукт просто через пуск выбрал перезагрузку..и после перезагрузки снова поставил на проверку комп данной программой..и то же самое по второму кругу..прога не работает как надо. ОС ХРюша, запускал от имени пользователя с которого работаю, т.к. этот пользователь и является администратором.

Сейчас все еще идет проверка программой доктора веба..если будет возможным с него выгрузить лог - я его сюда залью