Перейти к содержанию

Шифровальщик maxcrypt@foxmail2


Рекомендуемые сообщения

Всем привет

Пришло письмо на почту открыл его и соответственно получил

зашифрованные файлы

Файл шифровальщика сохранился

Лог прикрепил

CollectionLog-2015.10.04-17.08.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\965A~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AceStream','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AceWebExtensionUpdater','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\System Security Application','command');
DeleteFile('C:\Users\965A~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\DigitalSite','64');
DeleteFile('C:\Windows\Tasks\DigitalSite.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Всем привет

Не удалось отправить файл quarantine.zip по адресу newvirus@kaspersky.com

Вернее он оказался пустым

Заново собрал и выкладываю логи

CollectionLog-2015.10.07-15.38.zip

Ссылка на комментарий
Поделиться на другие сайты

Удалите в МВАМ все, кроме

PUP.Hacktool.Patcher, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Архиваторы\PowerArchiver 2010 Professional 11.62.04\Crack\Patch.exe, , [d57a6c4aafdbc86e616852b535cbf60a], 
Trojan.Dropped, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Графика\XnView 1.97.4 Final\XnView 1.97.4 Final Complete version(Plugins & NConvert)\q_B_XnViewFull.1.97.4.exe, , [dd728036a2e8dc5a19f8d8b5857df709], 
RiskWare.Tool.CK, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Мультимедийные программы\!Конверторы\DivX Plus v8.0 Pro Build v1.0.1.25\Keygen\Keygen.exe, , [7cd3ab0b0c7e41f59c481532ed15a45c], 
Backdoor.Generic, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Мультимедийные программы\!Конверторы\USeesoft Total Video Converter v1.5.1.6\USeeSoft.Total.Video.Converter\mr.dll, , [d37c4b6bfe8c1e18218f2cbdcc3954ac], 
Trojan.Agent.CK, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Мультимедийные программы\!Конверторы\vsoConvertXtoDVD4\Keygen.exe, , [ada2853194f64ceaa1d329a0659d5ea2], 
PUP.Hacktool.Patcher, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Офисные программы\PDF2Office Professional 5.0\Crack\Patch.exe, , [bb9475410981ce68c5049c6b8c74c43c], 
RiskWare.Tool.CK, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Программы для CD и DVD устройств\Запись, Копирование\UltraISO Premium Edition 9.3.6 Build 2750\keygen.exe, , [143b7145d9b10531fda0c523b9484bb5], 
Trojan.Spy.Agent, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Системные утилиты для Windows\Документация\Установка Windows Xp.exe, , [a0affcba1a70cf6773ff5fb329d7dd23], 
PUP.Hacktool.Patcher, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Утилиты\Easy File & Folder Protector 5.0\Crack\Patch.exe, , [aea14a6cc0ca75c1e0e96f98cc34d729], 
RiskWare.Tool.HCK, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Утилиты\TuneUp Utilities 2010 v.9.0.4100.54 Final rus\TuneUp Utilities 2010 v9.0.4200.54\Лечение\Keymaker.Only-CORE\keygen.exe, , [16395561c4c6ca6c84968d28f012827e], 
Adware.WhenU, C:\UazUP\daemon4091-x64.exe, , [7cd3a214107abe78988fa39a9a6ce719], 
Adware.WhenU, C:\UazUP\daemon4091-x86.exe, , [b7989521a6e49c9ad057d16c58aeb848], 
Ссылка на комментарий
Поделиться на другие сайты

 

Удалите в МВАМ все, кроме

PUP.Hacktool.Patcher, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Архиваторы\PowerArchiver 2010 Professional 11.62.04\Crack\Patch.exe, , [d57a6c4aafdbc86e616852b535cbf60a], 
Trojan.Dropped, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Графика\XnView 1.97.4 Final\XnView 1.97.4 Final Complete version(Plugins & NConvert)\q_B_XnViewFull.1.97.4.exe, , [dd728036a2e8dc5a19f8d8b5857df709], 
RiskWare.Tool.CK, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Мультимедийные программы\!Конверторы\DivX Plus v8.0 Pro Build v1.0.1.25\Keygen\Keygen.exe, , [7cd3ab0b0c7e41f59c481532ed15a45c], 
Backdoor.Generic, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Мультимедийные программы\!Конверторы\USeesoft Total Video Converter v1.5.1.6\USeeSoft.Total.Video.Converter\mr.dll, , [d37c4b6bfe8c1e18218f2cbdcc3954ac], 
Trojan.Agent.CK, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Мультимедийные программы\!Конверторы\vsoConvertXtoDVD4\Keygen.exe, , [ada2853194f64ceaa1d329a0659d5ea2], 
PUP.Hacktool.Patcher, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Офисные программы\PDF2Office Professional 5.0\Crack\Patch.exe, , [bb9475410981ce68c5049c6b8c74c43c], 
RiskWare.Tool.CK, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Программы для CD и DVD устройств\Запись, Копирование\UltraISO Premium Edition 9.3.6 Build 2750\keygen.exe, , [143b7145d9b10531fda0c523b9484bb5], 
Trojan.Spy.Agent, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Системные утилиты для Windows\Документация\Установка Windows Xp.exe, , [a0affcba1a70cf6773ff5fb329d7dd23], 
PUP.Hacktool.Patcher, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Утилиты\Easy File & Folder Protector 5.0\Crack\Patch.exe, , [aea14a6cc0ca75c1e0e96f98cc34d729], 
RiskWare.Tool.HCK, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Утилиты\TuneUp Utilities 2010 v.9.0.4100.54 Final rus\TuneUp Utilities 2010 v9.0.4200.54\Лечение\Keymaker.Only-CORE\keygen.exe, , [16395561c4c6ca6c84968d28f012827e], 
Adware.WhenU, C:\UazUP\daemon4091-x64.exe, , [7cd3a214107abe78988fa39a9a6ce719], 
Adware.WhenU, C:\UazUP\daemon4091-x86.exe, , [b7989521a6e49c9ad057d16c58aeb848], 

 

Сделал

А что делать с зашифрованными файлами?

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
B92LqRQ.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} =>  No File
ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} =>  No File
ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} =>  No File
ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} =>  No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-180494597-1792435425-3708071402-1000 -> Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik_x64.dll No File
Toolbar: HKU\S-1-5-21-180494597-1792435425-3708071402-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Toolbar: HKU\S-1-5-21-180494597-1792435425-3708071402-1000 -> DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File
FF Extension: AS Magic Player - C:\Users\адам\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\magicplayer@acestream.org [2015-03-02]
OPR Extension: (System Security Application) - C:\Users\адам\AppData\Roaming\Opera Software\Opera Stable\Extensions\epcjbhgkehdidecpfkplcclbpedaioda [2015-03-02]
2015-09-30 05:53 - 2015-09-30 05:53 - 00401830 _____ C:\Users\адам\AppData\Roaming\lock.bmp
2015-09-29 21:21 - 2014-03-28 08:08 - 00000000 ____D C:\Users\адам\AppData\Roaming\ACEStream
Task: {5440F718-4909-47DC-B5B8-222634DF79E3} - \DigitalSite -> No File <==== ATTENTION
Task: {76B23D51-55EF-439B-A309-E14A18E6F63E} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2011-05-17] () <==== ATTENTION
2015-02-27 18:08 - 2015-09-24 14:53 - 00287744 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\acestreamengine.Core.pyd
2011-06-12 16:09 - 2011-06-12 16:09 - 00038400 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\_socket.pyd
2011-06-12 16:09 - 2011-06-12 16:09 - 00720896 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\_ssl.pyd
2015-02-26 14:18 - 2015-02-26 14:18 - 00018944 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\acestreamengine.pycompat.pyd
2011-06-12 16:06 - 2011-06-12 16:06 - 00287232 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\_hashlib.pyd
2015-02-26 14:18 - 2015-02-26 14:18 - 02386432 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\acestreamengine.pywebrtc.pyd
2015-02-27 18:06 - 2015-09-24 14:53 - 02889216 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\acestreamengine.live.pyd
2014-01-23 14:37 - 2014-01-23 14:37 - 00036352 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\_psutil_mswindows.pyd
2013-12-21 16:20 - 2013-12-21 16:20 - 00053248 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\_blist.pyd
2011-06-12 16:06 - 2011-06-12 16:06 - 00106496 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\_ctypes.pyd
2013-12-21 16:20 - 2013-12-21 16:20 - 00040448 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\bitarray._bitarray.pyd
2011-06-12 16:06 - 2011-06-12 16:06 - 00011776 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\select.pyd
2015-09-24 22:56 - 2015-09-24 14:53 - 00225384 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\acestreamengine.pysegmenter.pyd
2015-09-24 22:56 - 2015-09-24 14:53 - 00112142 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\libgcc_s_dw2-1.dll
2011-01-19 00:56 - 2011-01-19 00:56 - 00334336 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\M2Crypto.__m2crypto.pyd
2011-06-12 16:06 - 2011-06-12 16:06 - 00152576 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\pyexpat.pyd
2011-02-13 18:02 - 2011-02-13 18:02 - 00031232 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\Crypto.Cipher.AES.pyd
2015-02-27 18:18 - 2015-09-24 14:53 - 04072448 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\acestreamengine.CoreApp.pyd
2012-02-07 19:37 - 2012-02-07 19:37 - 00098816 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\win32api.pyd
2012-02-07 19:35 - 2012-02-07 19:35 - 00110080 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\pywintypes27.dll
2012-02-07 19:38 - 2012-02-07 19:38 - 00358912 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\pythoncom27.dll
2012-02-07 19:36 - 2012-02-07 19:36 - 00111616 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\win32file.pyd
2012-02-07 19:36 - 2012-02-07 19:36 - 00024064 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\win32pdh.pyd
2010-10-11 01:23 - 2010-10-11 01:23 - 00723968 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\apsw.pyd
2013-01-29 19:20 - 2013-01-29 19:20 - 00082944 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\cpyamf.util.pyd
2011-07-15 22:37 - 2011-07-15 22:37 - 00981504 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\wx._core_.pyd
2011-07-15 22:38 - 2011-07-15 22:38 - 00746496 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\wx._gdi_.pyd
2011-07-15 22:38 - 2011-07-15 22:38 - 00670720 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\wx._windows_.pyd
2011-07-15 22:38 - 2011-07-15 22:38 - 00966144 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\wx._controls_.pyd
2011-07-15 22:38 - 2011-07-15 22:38 - 00674816 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\wx._misc_.pyd
2015-09-24 22:56 - 2015-09-24 14:53 - 00167424 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\win32gui.pyd
2015-09-24 22:56 - 2015-09-24 14:53 - 00035840 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\win32process.pyd
2011-06-12 16:06 - 2011-06-12 16:06 - 00688128 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\unicodedata.pyd
2015-02-26 14:18 - 2015-02-26 14:18 - 00061952 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\miniupnpc.pyd
2013-01-29 19:20 - 2013-01-29 19:20 - 00066048 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\cpyamf.amf0.pyd
FirewallRules: [{8B59FAB0-258F-4B8A-A593-6B7E42A26775}] => (Allow) C:\Users\адам\AppData\Roaming\ACEStream\engine\ace_engine.exe
FirewallRules: [{AC1A5B54-07EC-4326-9625-01C94813848F}] => (Allow) C:\Users\адам\AppData\Roaming\ACEStream\engine\ace_engine.exe
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.

Ссылка на комментарий
Поделиться на другие сайты

Fixlog.txt

 

Из-за ограничений на размер файла, архив выложил на яндекс диск

 

https://yadi.sk/d/lidV9NZbjebm2

 

Пароль к архиву infected

Fixlog.txt

Изменено пользователем ScorpOfRus
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
×
×
  • Создать...