Вирус зашифровал файлы cerber

[Ольга Лазарева]

Помогите пжл!!! Вирус зашифровал файлы. Сначала на карте памяти от фотоаппарата потом на всем компе. Хотя и удаляла его с помощью антивируса. Как понять что вирус точно удален? Проверка антивирусником говорит, что все ок. 

Есть файлы зашифрованные а есть нет. 

 

 

[thyrex]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[Ольга Лазарева]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Извините. Была в панике 

CollectionLog-2016.07.05-23.50.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Olchik\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','');
 QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','');
 QuarantineFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe','');
 QuarantineFile('C:\Users\Olchik\AppData\Local\SystemDir\nethost.exe','');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','');
 QuarantineFile('C:\Program Files\Microsoft Data\install_addons.exe','');
 DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
 QuarantineFile('C:\Program Files\SupTab\SupTab.dll','');
 QuarantineFile('C:\Users\Olchik\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('C:\Program Files\Common Files\AppDownloads\8C8FEC86-F48D-4557-A32B-47DD31643BB6.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\1F7821C6-29B6-4FC2-83DB-E19D38BF3753\19E67078-B4C5-426F-A707-941BF03A7949.exe','');
 QuarantineFile('C:\ProgramData\IePluginServices\PluginService.exe','');
 DeleteService('IePluginServices');
 QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe','');
 QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
 DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
 DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule');
 DeleteFile('C:\ProgramData\IePluginServices\PluginService.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Optimizer Pro');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MailRuUpdater');
 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\1F7821C6-29B6-4FC2-83DB-E19D38BF3753\19E67078-B4C5-426F-A707-941BF03A7949.exe','32');
 DeleteFile('C:\Program Files\Common Files\AppDownloads\8C8FEC86-F48D-4557-A32B-47DD31643BB6.exe','32');
 DeleteFile('C:\Users\Olchik\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','1F7821C6-29B6-4FC2-83DB-E19D38BF3753');
 DeleteFile('C:\Program Files\SupTab\SupTab.dll','32');
 DeleteFile('C:\Program Files\Microsoft Data\install_addons.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','32');
 DeleteFile('C:\Windows\system32\Tasks\extsetup','32');
 DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\MailRuUpdater','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\A8C8FEC86-F48D-4557-A32B-47DD31643BB6','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\A1F7821C6-29B6-4FC2-83DB-E19D38BF3753','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\8C8FEC86-F48D-4557-A32B-47DD31643BB6','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\1F7821C6-29B6-4FC2-83DB-E19D38BF3753','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\KRBUUS\KRB Updater Utility Service','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','32');
 DeleteFile('C:\Windows\system32\Tasks\nethost task','32');
 DeleteFile('C:\Users\Olchik\AppData\Local\SystemDir\nethost.exe','32');
 DeleteFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe','32');
 DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\SafeBrowser','32');
 DeleteFile('C:\Windows\system32\Tasks\ReimageUpdater','32');
 DeleteFile('C:\Windows\system32\Tasks\Reimage Reminder','32');
 DeleteFile('C:\Users\Olchik\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

[Ольга Лазарева]

KLAN-4627583522

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

вoйти в интeрнeт.exe - not-a-virus:Downloader.Win32.LMN.afw

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

ReimageReminder.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ruhttp://www.viruslist.ru"

CollectionLog-2016.07.06-01.43.zip

Изменено 5 июля, 2016 пользователем Ольга Лазарева

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Ольга Лазарева]

Спасибо за оперативный ответ 

Desktop.rar

[thyrex]

Что-то я не вижу в логах ни одного шифрованного Cerber'ом файла.


Заархивируйте с паролем virus файлы

C:\Users\Olchik\AppData\Local\Temp\ea1f-9e33-918c-a782.exe
C:\Users\Olchik\AppData\Local\Temp\film.exe

Выложите полученный архив на Яндекс диск и пришлите ссылку мне в личные сообщения


1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Run: [] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-4273447121-2994177606-3282118587-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.sweet-page.com/?type=hp&ts=1407500224&from=cor&uid=3219913727_1787_08262387
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1407500224&from=cor&uid=3219913727_1787_08262387&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1407500224&from=cor&uid=3219913727_1787_08262387
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1407500224&from=cor&uid=3219913727_1787_08262387&q={searchTerms}
HKU\S-1-5-21-4273447121-2994177606-3282118587-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1407500224&from=cor&uid=3219913727_1787_08262387
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1407500224&from=cor&uid=3219913727_1787_08262387&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1407500224&from=cor&uid=3219913727_1787_08262387&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4273447121-2994177606-3282118587-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1407500224&from=cor&uid=3219913727_1787_08262387&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4273447121-2994177606-3282118587-1001 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Olchik\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhnpmdabjgpimmnbmhefncbghknfegog [2015-11-15]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Olchik\AppData\Roaming\Opera Software\Opera Stable\Extensions\denjcdefjebbmlihdoojnebochnkgcin [2015-11-15]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Olchik\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2015-11-15]
OPR Extension: (Smart Browser™) - C:\Users\Olchik\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcahibnffhnnjcedflmchmokndkjnhpg [2015-11-15]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Olchik\AppData\Roaming\Opera Software\Opera Stable\Extensions\mclkkofklkfljcocdinagocijmpgbhab [2015-11-15]
OPR Extension: (Smart Browser) - C:\Users\Olchik\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlipoenfbbikpbjkfpfillcgkoblgpmj [2015-11-15]
S4 ca82e1a5; "C:\Windows\system32\rundll32.exe" "c:\Program Files\Optimizer Pro\OptProCrash.dll",SVC
2016-07-05 19:58 - 2016-07-05 20:00 - 00000000 ____D C:\rei
2016-07-05 19:58 - 2016-07-05 19:59 - 00000150 _____ C:\Windows\Reimage.ini
2016-07-05 19:58 - 2016-07-05 19:59 - 00000000 ____D C:\ProgramData\Reimage Protector
2016-07-05 19:58 - 2016-07-05 19:58 - 00002022 _____ C:\Users\Public\Desktop\PC Scan & Repair by Reimage.lnk
2016-07-05 19:58 - 2016-07-05 19:58 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair
2016-07-05 19:58 - 2016-07-05 19:58 - 00000000 ____D C:\Program Files\Reimage
2016-07-05 20:18 - 2015-05-31 17:14 - 00000000 ____D C:\ProgramData\KRB Updater Utility
Task: {298D4EDD-700D-4C18-9506-D87EC57A0B59} - \MailRuUpdater -> No File <==== ATTENTION
Task: {40C441C9-8CE8-4979-A784-4A7FFFBB0FD2} - \chrome5_logon -> No File <==== ATTENTION
Task: {47B16313-5A2E-46B3-8458-F25D56A9DA01} - \nethost task -> No File <==== ATTENTION
Task: {49CEEF28-9134-42A3-85B4-1B25989C6ED3} - \SafeBrowser -> No File <==== ATTENTION
Task: {4CC22A3B-72A3-4C81-97B9-3EB5FA0E4E93} - \Microsoft\Windows\SafeBrowser -> No File <==== ATTENTION
Task: {5F20E0C9-B401-491E-9F09-46517926E2EA} - \extsetup -> No File <==== ATTENTION
Task: {612B813C-0ED9-48D7-8435-E75A94AE1A2A} - \KRB Updater Utility -> No File <==== ATTENTION
Task: {623AE489-1473-4101-ACDC-3A2EEFABD153} - \Microsoft\Windows\8C8FEC86-F48D-4557-A32B-47DD31643BB6 -> No File <==== ATTENTION
Task: {65BFA48C-7BE8-4E72-9459-A2A933495592} - \chrome5 -> No File <==== ATTENTION
Task: {9D728D04-7029-4F7C-B485-7CD4687471EE} - \Microsoft\Windows\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {B7B1D654-4114-4C81-AD64-693B29A81D71} - \Microsoft\Windows\1F7821C6-29B6-4FC2-83DB-E19D38BF3753 -> No File <==== ATTENTION
Task: {C7F61C13-F6DB-4AD2-B8E4-6478F6B1A2A4} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION
Task: {D05B38BE-F4FE-4B70-BC35-43BA85A1215C} - \Microsoft\Windows\A1F7821C6-29B6-4FC2-83DB-E19D38BF3753 -> No File <==== ATTENTION
Task: {E4FA2694-5936-493A-8A9D-60D4DB53CC2A} - \ReimageUpdater -> No File <==== ATTENTION
Task: {F68E6486-701F-419E-9338-3406609ACEE1} - \Reimage Reminder -> No File <==== ATTENTION
Task: {F784A757-98B1-43C7-B81D-05FF48EB7CD6} - \Microsoft\Windows\A8C8FEC86-F48D-4557-A32B-47DD31643BB6 -> No File <==== ATTENTION
C:\Users\Olchik\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Ольга Лазарева]

Спасибо

 

Скажите надежды на расшифровку нет? 

Fixlog.txt

[thyrex]

Что-то я не вижу в логах ни одного шифрованного Cerber'ом файла.

Это я для себя написал? Более того, нет даже файлов с сообщениями для связи со злодеями.

[Ольга Лазарева]

 

Что-то я не вижу в логах ни одного шифрованного Cerber'ом файла.

Это я для себя написал? Более того, нет даже файлов с сообщениями для связи со злодеями.

 

Извините. 

Сам файл-письмо в формате HTML 

в архиве приложила два файла. один в доке другой txt. есть так же зашифрованый файл и его копия нормальная(только много весит это фотография)

 

Скажите если изначально шифрование началось с карты памяти фотоаппарата и далее вирус распространился     по всему компу.

 

1. может ли вирус быть в фотоаппарате - карту повторно туда вставляла.

2.можно ли как то восстановить фотографии на карте? 

HOW TO DECRYPT FILES.html

shifr.rar

[thyrex]

Хм, это подделка под Cerber. Скорее всего Xorist. Сейчас пойду изучать присланные Вами вчера файлы.

Но шанс мал, что это они.

 

Что запустили перед появлением шифрования?

[Ольга Лазарева]

Хм, это подделка под Cerber. Скорее всего Xorist. Сейчас пойду изучать присланные Вами вчера файлы.

Но шанс мал, что это они.

 

Что запустили перед появлением шифрования?

Вы знаете я фотографией занимаюсь. 

И вот пытаюсь вспомнить и ничего не могу припомнить(почту я не открываю аля вредоносные файлы). Единственный момент у меня недавно полетел монитор(просто не включался) и я установила монитор мужа. И стала искать программу для настройки монитора. Скачала одну(уже не помню название) установила но она оказалась бестолковой. Я думаю это был вирус. Так как шифровка файлов началась с карты памяти. Так же устанавливала на компьютер яндексДиск. 

[thyrex]

есть так же зашифрованый файл и его копия нормальная

выложите в архиве на Яндекс диск и пришлите мне ссылку

[Ольга Лазарева]

Файлы скинула. Они большого размера -то что в быстром доступе. Могу найти поменьше если это принципиально - но нужно время. 

 

У меня кстати Касперский опять вирусу Троян обнаружил - сегодня. Хотя думала, что все удалено. Спасибо за то, что вы делаете