Вирус RAA

[Yulia_T]

Как оказалось не новая история На эл. почту пришло письмо с требованием оплатить просроченный счет, при открытии понеслось - все файлы поменяли расширение на locked. На форуме нашлась похожая тема - делали все по инструкции.

CollectionLog-2016.08.25-10.29.zip

[SQ]

Здравствуйте,

HiJackThis профиксить

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.biz
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKCU\..\Run: [] C:\Users\User\AppData\Local\Temp\Rar$DI00.765\Счета на оплату _ август 2016 согласовано и отправлено контрагенту для проведения оплаты _xAN.doc.js argument

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\User\AppData\Local\Temp\Rar$DI00.765\Счета на оплату _ август 2016 согласовано и отправлено контрагенту для проведения оплаты _xAN.doc.js','');
 QuarantineFile('C:\Users\User\AppData\Roaming\archsoft\aruinstall.exe','');
 DeleteFile('C:\Users\User\AppData\Local\Temp\Rar$DI00.765\Счета на оплату _ август 2016 согласовано и отправлено контрагенту для проведения оплаты _xAN.doc.js');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)


- Подготовьте лог AdwCleaner и приложите его в теме. 

[Yulia_T]

Добрый вечер!

AdwCleanerS0.txt

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Yulia_T]

Добрый день!

AdwCleanerC0.txt

AdwCleanerC2.txt

AdwCleanerS1.txt

AdwCleanerS2.txt

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.