файлы зашифрованы VVV

[istav]

Здравсвуйте, у меня произошла атака, вирус зашифровал все файлы и добавил расширение .vvv

 Также запустился сервис, который пытался запустить периодически (каждую минуту) исполняемый файл. Процесс был уничтожен с помощью JRT, но сервис оставался незаблокироанным и после перегрузки запускался заново.

Просьба дать рекомендации.

прилагаю лог сборщика и лог DrWeb.

 

заранее благодарю за помощь.

с уважением,

Игорь

 

CollectionLog-2015.12.03-18.27.zip

cureit.log

[Sandor]

Здравствуйте!
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
 
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Vetka\AppData\Local\IXRsoft\awcctrl.dll','');
 QuarantineFile('C:\Users\Vetka\AppData\Local\Anworks\SEdrvObj.dll','');
 QuarantineFile('C:\Users\Vetka\AppData\Local\IXRsoft\TMP9A8A.exe','');
 QuarantineFile('C:\Users\Vetka\AppData\Roaming\rqhdj-a.exe', '');
 QuarantineFile('C:\Users\Vetka\kporiwab.exe', '');
 QuarantineFile('C:\Users\Vetka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xyi.html', '');
 QuarantineFile('C:\Users\Vetka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xyi.txt', '');
 QuarantineFile('C:\Users\Vetka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\how_recover+xyi.html', '');
 QuarantineFile('C:\Users\Vetka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\how_recover+xyi.txt', '');
 QuarantineFile('J:\autorun.inf', '');
 QuarantineFile('J:\RECYCLER\S-8-2-32-171729187-8490619681-151844467-659\jufcq.exe', '');
 DeleteFile('C:\Users\Vetka\AppData\Local\IXRsoft\TMP9A8A.exe','32');
 DeleteFile('C:\Users\Vetka\AppData\Local\Anworks\SEdrvObj.dll','32');
 DeleteFile('C:\Users\Vetka\AppData\Local\IXRsoft\awcctrl.dll','32');
 DeleteFile('C:\Users\Vetka\AppData\Roaming\rqhdj-a.exe', '32');
 DeleteFile('C:\Users\Vetka\kporiwab.exe', '32');
 DeleteFile('C:\Users\Vetka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xyi.html', '32');
 DeleteFile('C:\Users\Vetka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xyi.txt', '32');
 DeleteFile('C:\Users\Vetka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\how_recover+xyi.html', '32');
 DeleteFile('C:\Users\Vetka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\how_recover+xyi.txt', '32');
 DeleteFile('J:\RECYCLER\S-8-2-32-171729187-8490619681-151844467-659\jufcq.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','IXRsoft');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Anworks');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ention');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Acronis');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
 

 
Компьютер перезагрузится. 

 
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com
 
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
 
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[istav]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

awcctrl.dll,
SEdrvObj.dll,
TMP9A8A.exe,
rqhdj-a.exe,
kporiwab.exe,
how_recover+xyi.html,
how_recover+xyi.txt,
how_recover+xyi_0.html,
how_recover+xyi_0.txt,
autorun.inf,
jufcq.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

KLAN-3411439448

autologger second step

 

CollectionLog-2015.12.04-12.38.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[istav]

согласно вашим инструкциям

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

HKLM-x32\...\Run: [] => [X]

URLSearchHook: HKU\S-1-5-21-3742788777-4055952478-938898431-1000 - (No Name) - {5bcf818d-78c8-41b8-ba89-65c5fdac4fc4} - C:\Program Files (x86)\Allin1Convert_8h\bar\1.bin\8hSrcAs.dll No File

Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File

Toolbar: HKU\S-1-5-21-3742788777-4055952478-938898431-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File

Toolbar: HKU\S-1-5-21-3742788777-4055952478-938898431-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File

StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera x64\Opera.exe hxxp://www.qvo6.com/?utm_source=b&utm_medium=amt&from=amt&uid=HitachiXHTS727575A9E364_J3740084GKHTGEGKHTGEX&ts=1367229012

2015-12-03 01:23 - 2015-12-04 12:05 - 00000000 ____D C:\Users\Vetka\AppData\Local\IXRsoft

2015-12-03 01:23 - 2015-12-03 01:30 - 00000000 ____D C:\Users\Vetka\AppData\Local\Anworks

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

 

 

[istav]

сделал как вы сказали

Fixlog.txt

[Sandor]

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Деинсталлировать).

Подтвердите удаление, нажав кнопку: Да.

 

Подробнее читайте в этом руководстве.

 

2.

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)

Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.

Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;

Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

Прикрепите этот файл к своему следующему сообщению.

 

 

С расшифровкой, увы, не поможем.

 

Пробуйте восстановить средствами Windows.

[istav]

прилагаю файл

 

SecurityCheck.txt

[mike 1]

По расшифровке:

 

Нужно писать сюда запрос http://forum.kaspersky.com/index.php?showtopic=337288. Шансы есть. 

 

Смените все пароли. 

Изменено 4 декабря, 2015 пользователем mike 1

[istav]

спасибо ! 

[Itdivision]

Добрый день хотелось бы знать как то получилось решить проблему с дешифратором для VVV?

[Roman_Five]

 

 

хотелось бы знать как то получилось решить проблему с дешифратором для VVV?

если у вас аналогичная проблема - http://forum.kaspersky.com/index.php?showtopic=337288

Сообщение от модератора Roman_Five

Закрыто.