Вложение из письма зашифровало все файлы на компьютере: email-cryptolocker@aol.com_mod.ver-CL 1.0.0.0 ..... cbf

[SeregaDSO]

На почту пришло письмо от "департамента досудебных разбирательств" они якобы уведомляют нас об начале какого-то уголовного дела. И для получения подробностей внизу письма стоит ссылка. которая скачивает утилиту.

Заражение произошло после скачивания и последующего запуска утилиты "archive.com Тип файла : Приложение MS-DOS." Все файлы были зашифрованы и изменено название   email-cryptolocker@aol.com_mod.ver-CL 1.0.0.0.u.id-FMPRUVVVWWWXWYWXBCCDDDCCBCBBBBABAZYY-11.07.2016 8@33@591238518@@@@@8A12-EDB4.randomname-BUAAFFEDDBAZZZABAZAAKKIIIHGHGE.JRY.cbf 

Просканировал компьютер  Dr.Web CureIt!. поместил на карантин 5 вирусов

Прикрепляю архив с логом AutoLogger. При сборе логов интернет был отключен. Надеюсь на помощь.

Так же сохранились письмо с сылкой и утилита которая с нее скачивается при необходимости могу передать.

CollectionLog-2016.07.12-15.30.zip

Изменено 12 июля, 2016 пользователем SeregaDSO

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Admin\AppData\Local\Temp\27217837aq', '');
 QuarantineFile('C:\Windows\system32\dWOKlBThBgzEXc.exe','');
 ExecuteFile('schtasks.exe', '/delete /TN "At1" /F', 0, 15000, true);
 DeleteFile('C:\Users\Admin\AppData\Local\Temp\27217837aq', '32');
 DeleteFile('C:\Windows\system32\dWOKlBThBgzEXc.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VoIIyfMIiQFSxitCiFcb_icTKP');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(4);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[SeregaDSO]

Прикрепляю логи

Лаборатория ответила следующим образом:

 

[KLAN-4671789168]

 

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

No email attachments were found in the message that you have sent. If you attached files to your message, they may have been removed by the antivirus program before delivery. In this case please send the sample files again by adding them to an archive with the password infected.

Best Regards, Kaspersky Lab

 

2 раза так, второй раз заархивировал с паролем infected как указано в письме. могу переправить вам архив карантин.

ClearLNK-12.07.2016_17-41.log

CollectionLog-2016.07.12-17.58.zip

[Sandor]

Пока не нужно.

• Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[SeregaDSO]

Добрый день. Прикрепляю лог. А можно такой вопрос? после удаления вируса возможно будет восстановление файлов?

AdwCleanerS1.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Настройки и отметьте дополнительно:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[SeregaDSO]

Прилагаю выполненные логи.

Addition.txt

AdwCleanerC1.txt

FRST.txt

Shortcut.txt

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Web ProtectionAddon version 4.59

Интернет

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-3066595210-2618262784-941206034-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF Extension: NetSecurity v14.4.28 - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\xwezu80i.default\extensions\likenetwork@it-taks.com [2014-05-05] [not signed]
FF Extension: No Name - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\xwezu80i.default\extensions\vb@yandex.ru.xpi [not found]
FF Extension: No Name - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\xwezu80i.default\extensions\yasearch@yandex.ru [not found]
CHR HomePage: Default -> file:///C:/Users/Admin/AppData/Local/Microsoft/Windows/Temporary%20Internet%20Files/Content.IE5/JI1OM96J
CHR DefaultSuggestURL: Default -> hxxp://suggest.yandex.net/suggest-ff.cgi?part={searchTerms}
2016-07-11 13:35 - 2016-07-11 13:35 - 0000094 ____C () C:\Program Files\GCSGMTSVMJ.STJ
2016-07-11 13:35 - 2016-07-11 13:35 - 0000095 ____C () C:\Program Files\KJQKDKFCVC.SEY
2016-07-11 13:29 - 2016-07-11 13:29 - 0381365 ____C () C:\Program Files\Virus.zip
C:\Users\Admin\AppData\Local\Temp\MailRuUpdater.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Антивирус Касперского 6.0 для Windows Workstations (Version: 6.0.4.1424 - Лаборатория Касперского) - версия устарела и не поддерживается. Обновите до KES10.

[SeregaDSO]

Web ProtectionAddon version 4.59  эта программа не хочет удаляться, выдается ошибка Rantime Error(at:1448): WinHttp.WinHttpRequest: не удается разрешить имя или адрес сервера.

так же в день заражения вирусом была установлена программа: mail attachment 1.2.4 издатель: adobe.inc Размер: 468КБ никто специально ее не устанавливал, может быть она имеет какое либо отношение к вирусу?

[Sandor]

Пробуйте удалить форсированно, например, через Revo Uninstall. Результат сообщите.

[SeregaDSO]

С помощью предложенной программы в процессе удаления выскочила аналогичная ошибка, но удаление продолжилось предложило удалить запись в реестре, и после некоторые файлы. принял удаление в обоих случаях. программа исчезла из списка установленных программ.

А нас счет mail attachment ничего не можете сказать?

Прикрепляю также Fixlog

Fixlog.txt

[Sandor]

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

[SeregaDSO]

Спасибо, надежда есть?

[Sandor]

В ТП ответят.