Шифровальщик maxcrypt@foxmail2

4 октября, 2015

Всем привет

Пришло письмо на почту открыл его и соответственно получил

зашифрованные файлы

Файл шифровальщика сохранился

Лог прикрепил

CollectionLog-2015.10.04-17.08.zip

4 октября, 2015

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\965A~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AceStream','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AceWebExtensionUpdater','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\System Security Application','command');
DeleteFile('C:\Users\965A~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\DigitalSite','64');
DeleteFile('C:\Windows\Tasks\DigitalSite.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

7 октября, 2015

Всем привет

Не удалось отправить файл quarantine.zip по адресу newvirus@kaspersky.com

Вернее он оказался пустым

Заново собрал и выкладываю логи

CollectionLog-2015.10.07-15.38.zip

7 октября, 2015

Сделайте лог полного сканирования МВАМ

8 октября, 2015

Сделайте лог полного сканирования МВАМ

Лог сканирования МВАМ

log08.10.15.txt

8 октября, 2015

Удалите в МВАМ все, кроме

PUP.Hacktool.Patcher, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Архиваторы\PowerArchiver 2010 Professional 11.62.04\Crack\Patch.exe, , [d57a6c4aafdbc86e616852b535cbf60a], 
Trojan.Dropped, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Графика\XnView 1.97.4 Final\XnView 1.97.4 Final Complete version(Plugins & NConvert)\q_B_XnViewFull.1.97.4.exe, , [dd728036a2e8dc5a19f8d8b5857df709], 
RiskWare.Tool.CK, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Мультимедийные программы\!Конверторы\DivX Plus v8.0 Pro Build v1.0.1.25\Keygen\Keygen.exe, , [7cd3ab0b0c7e41f59c481532ed15a45c], 
Backdoor.Generic, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Мультимедийные программы\!Конверторы\USeesoft Total Video Converter v1.5.1.6\USeeSoft.Total.Video.Converter\mr.dll, , [d37c4b6bfe8c1e18218f2cbdcc3954ac], 
Trojan.Agent.CK, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Мультимедийные программы\!Конверторы\vsoConvertXtoDVD4\Keygen.exe, , [ada2853194f64ceaa1d329a0659d5ea2], 
PUP.Hacktool.Patcher, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Офисные программы\PDF2Office Professional 5.0\Crack\Patch.exe, , [bb9475410981ce68c5049c6b8c74c43c], 
RiskWare.Tool.CK, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Программы для CD и DVD устройств\Запись, Копирование\UltraISO Premium Edition 9.3.6 Build 2750\keygen.exe, , [143b7145d9b10531fda0c523b9484bb5], 
Trojan.Spy.Agent, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Системные утилиты для Windows\Документация\Установка Windows Xp.exe, , [a0affcba1a70cf6773ff5fb329d7dd23], 
PUP.Hacktool.Patcher, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Утилиты\Easy File & Folder Protector 5.0\Crack\Patch.exe, , [aea14a6cc0ca75c1e0e96f98cc34d729], 
RiskWare.Tool.HCK, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Утилиты\TuneUp Utilities 2010 v.9.0.4100.54 Final rus\TuneUp Utilities 2010 v9.0.4200.54\Лечение\Keymaker.Only-CORE\keygen.exe, , [16395561c4c6ca6c84968d28f012827e], 
Adware.WhenU, C:\UazUP\daemon4091-x64.exe, , [7cd3a214107abe78988fa39a9a6ce719], 
Adware.WhenU, C:\UazUP\daemon4091-x86.exe, , [b7989521a6e49c9ad057d16c58aeb848],

9 октября, 2015

Удалите в МВАМ все, кроме

PUP.Hacktool.Patcher, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Архиваторы\PowerArchiver 2010 Professional 11.62.04\Crack\Patch.exe, , [d57a6c4aafdbc86e616852b535cbf60a], 
Trojan.Dropped, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Графика\XnView 1.97.4 Final\XnView 1.97.4 Final Complete version(Plugins & NConvert)\q_B_XnViewFull.1.97.4.exe, , [dd728036a2e8dc5a19f8d8b5857df709], 
RiskWare.Tool.CK, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Мультимедийные программы\!Конверторы\DivX Plus v8.0 Pro Build v1.0.1.25\Keygen\Keygen.exe, , [7cd3ab0b0c7e41f59c481532ed15a45c], 
Backdoor.Generic, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Мультимедийные программы\!Конверторы\USeesoft Total Video Converter v1.5.1.6\USeeSoft.Total.Video.Converter\mr.dll, , [d37c4b6bfe8c1e18218f2cbdcc3954ac], 
Trojan.Agent.CK, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Мультимедийные программы\!Конверторы\vsoConvertXtoDVD4\Keygen.exe, , [ada2853194f64ceaa1d329a0659d5ea2], 
PUP.Hacktool.Patcher, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Офисные программы\PDF2Office Professional 5.0\Crack\Patch.exe, , [bb9475410981ce68c5049c6b8c74c43c], 
RiskWare.Tool.CK, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Программы для CD и DVD устройств\Запись, Копирование\UltraISO Premium Edition 9.3.6 Build 2750\keygen.exe, , [143b7145d9b10531fda0c523b9484bb5], 
Trojan.Spy.Agent, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Системные утилиты для Windows\Документация\Установка Windows Xp.exe, , [a0affcba1a70cf6773ff5fb329d7dd23], 
PUP.Hacktool.Patcher, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Утилиты\Easy File & Folder Protector 5.0\Crack\Patch.exe, , [aea14a6cc0ca75c1e0e96f98cc34d729], 
RiskWare.Tool.HCK, D:\Программы 64Bit для Windows7\Софт 2010\Программы\Утилиты\TuneUp Utilities 2010 v.9.0.4100.54 Final rus\TuneUp Utilities 2010 v9.0.4200.54\Лечение\Keymaker.Only-CORE\keygen.exe, , [16395561c4c6ca6c84968d28f012827e], 
Adware.WhenU, C:\UazUP\daemon4091-x64.exe, , [7cd3a214107abe78988fa39a9a6ce719], 
Adware.WhenU, C:\UazUP\daemon4091-x86.exe, , [b7989521a6e49c9ad057d16c58aeb848],

Сделал

А что делать с зашифрованными файлами?

9 октября, 2015

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

10 октября, 2015

Отчеты Farbar Recovery Scan Tool

FRST.txt

Addition.txt

10 октября, 2015

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} =>  No File
ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} =>  No File
ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} =>  No File
ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} =>  No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-180494597-1792435425-3708071402-1000 -> Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik_x64.dll No File
Toolbar: HKU\S-1-5-21-180494597-1792435425-3708071402-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Toolbar: HKU\S-1-5-21-180494597-1792435425-3708071402-1000 -> DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File
FF Extension: AS Magic Player - C:\Users\адам\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\magicplayer@acestream.org [2015-03-02]
OPR Extension: (System Security Application) - C:\Users\адам\AppData\Roaming\Opera Software\Opera Stable\Extensions\epcjbhgkehdidecpfkplcclbpedaioda [2015-03-02]
2015-09-30 05:53 - 2015-09-30 05:53 - 00401830 _____ C:\Users\адам\AppData\Roaming\lock.bmp
2015-09-29 21:21 - 2014-03-28 08:08 - 00000000 ____D C:\Users\адам\AppData\Roaming\ACEStream
Task: {5440F718-4909-47DC-B5B8-222634DF79E3} - \DigitalSite -> No File <==== ATTENTION
Task: {76B23D51-55EF-439B-A309-E14A18E6F63E} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2011-05-17] () <==== ATTENTION
2015-02-27 18:08 - 2015-09-24 14:53 - 00287744 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\acestreamengine.Core.pyd
2011-06-12 16:09 - 2011-06-12 16:09 - 00038400 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\_socket.pyd
2011-06-12 16:09 - 2011-06-12 16:09 - 00720896 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\_ssl.pyd
2015-02-26 14:18 - 2015-02-26 14:18 - 00018944 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\acestreamengine.pycompat.pyd
2011-06-12 16:06 - 2011-06-12 16:06 - 00287232 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\_hashlib.pyd
2015-02-26 14:18 - 2015-02-26 14:18 - 02386432 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\acestreamengine.pywebrtc.pyd
2015-02-27 18:06 - 2015-09-24 14:53 - 02889216 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\acestreamengine.live.pyd
2014-01-23 14:37 - 2014-01-23 14:37 - 00036352 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\_psutil_mswindows.pyd
2013-12-21 16:20 - 2013-12-21 16:20 - 00053248 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\_blist.pyd
2011-06-12 16:06 - 2011-06-12 16:06 - 00106496 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\_ctypes.pyd
2013-12-21 16:20 - 2013-12-21 16:20 - 00040448 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\bitarray._bitarray.pyd
2011-06-12 16:06 - 2011-06-12 16:06 - 00011776 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\select.pyd
2015-09-24 22:56 - 2015-09-24 14:53 - 00225384 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\acestreamengine.pysegmenter.pyd
2015-09-24 22:56 - 2015-09-24 14:53 - 00112142 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\libgcc_s_dw2-1.dll
2011-01-19 00:56 - 2011-01-19 00:56 - 00334336 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\M2Crypto.__m2crypto.pyd
2011-06-12 16:06 - 2011-06-12 16:06 - 00152576 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\pyexpat.pyd
2011-02-13 18:02 - 2011-02-13 18:02 - 00031232 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\Crypto.Cipher.AES.pyd
2015-02-27 18:18 - 2015-09-24 14:53 - 04072448 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\acestreamengine.CoreApp.pyd
2012-02-07 19:37 - 2012-02-07 19:37 - 00098816 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\win32api.pyd
2012-02-07 19:35 - 2012-02-07 19:35 - 00110080 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\pywintypes27.dll
2012-02-07 19:38 - 2012-02-07 19:38 - 00358912 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\pythoncom27.dll
2012-02-07 19:36 - 2012-02-07 19:36 - 00111616 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\win32file.pyd
2012-02-07 19:36 - 2012-02-07 19:36 - 00024064 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\win32pdh.pyd
2010-10-11 01:23 - 2010-10-11 01:23 - 00723968 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\apsw.pyd
2013-01-29 19:20 - 2013-01-29 19:20 - 00082944 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\cpyamf.util.pyd
2011-07-15 22:37 - 2011-07-15 22:37 - 00981504 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\wx._core_.pyd
2011-07-15 22:38 - 2011-07-15 22:38 - 00746496 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\wx._gdi_.pyd
2011-07-15 22:38 - 2011-07-15 22:38 - 00670720 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\wx._windows_.pyd
2011-07-15 22:38 - 2011-07-15 22:38 - 00966144 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\wx._controls_.pyd
2011-07-15 22:38 - 2011-07-15 22:38 - 00674816 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\wx._misc_.pyd
2015-09-24 22:56 - 2015-09-24 14:53 - 00167424 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\win32gui.pyd
2015-09-24 22:56 - 2015-09-24 14:53 - 00035840 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\win32process.pyd
2011-06-12 16:06 - 2011-06-12 16:06 - 00688128 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\unicodedata.pyd
2015-02-26 14:18 - 2015-02-26 14:18 - 00061952 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\miniupnpc.pyd
2013-01-29 19:20 - 2013-01-29 19:20 - 00066048 _____ () C:\Users\адам\AppData\Roaming\ACEStream\engine\lib\cpyamf.amf0.pyd
FirewallRules: [{8B59FAB0-258F-4B8A-A593-6B7E42A26775}] => (Allow) C:\Users\адам\AppData\Roaming\ACEStream\engine\ace_engine.exe
FirewallRules: [{AC1A5B54-07EC-4326-9625-01C94813848F}] => (Allow) C:\Users\адам\AppData\Roaming\ACEStream\engine\ace_engine.exe
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

10 октября, 2015

+ Пришлите в архиве несколько зашифрованных файлов для тестов.

10 октября, 2015

Fixlog.txt

Из-за ограничений на размер файла, архив выложил на яндекс диск

https://yadi.sk/d/lidV9NZbjebm2

Пароль к архиву infected

Fixlog.txt

Изменено 10 октября, 2015 пользователем ScorpOfRus

11 октября, 2015

Ответил в ЛС.

Шифровальщик maxcrypt@foxmail2

Рекомендуемые сообщения

ScorpOfRus

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

ScorpOfRus

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

ScorpOfRus

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

ScorpOfRus

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

ScorpOfRus

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

ScorpOfRus

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum