Перейти к содержанию

Помогите восстановить файлы после email-trojanencoder@aol.com.ver-CL 1.3.0.0.id


Рекомендуемые сообщения

Добрый день, нужна ваша помощь в расшифровке файлов. Антивирусом не проходил лечение, во избежания удаления нужных для расшифровки фалов. Логи прикладываю. Спасибо.


Забыл добавить эти файлы логов

Addition.txt

CollectionLog-2016.09.01-10.50.zip

report1.log

report2.log

Addition.txt

FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Wajam

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\program files\service.exe');
 TerminateProcessByName('c:\users\inomarki\appdata\local\temp\miapandtcq.exe');
 QuarantineFile('C:\Program Files\hp defender\hhandler.exe','');
 QuarantineFile('C:\Users\inomarki\appdata\roaming\update\explorer.exe','');
 QuarantineFile('C:\Users\inomarki\appdata\roaming\c731200','');
 QuarantineFile('C:\Users\inomarki\AppData\Roaming\FreeVPN\FreeVPN.exe','');
 QuarantineFile('C:\Users\novichihina\AppData\Roaming\EZoRbOExTnknK3oD.exe','');
 QuarantineFile('C:\Users\inomarki\AppData\Roaming\MyDesktop\linkme3103.exe','');
 QuarantineFile('C:\Users\inomarki\AppData\Roaming\WindowsUpdate\mobsync.exe','');
 QuarantineFile('C:\Users\inomarki\AppData\Roaming\Windows Live\jnrmkpvxva.exe','');
 QuarantineFile('C:\Users\inomarki\AppData\Roaming\WindowsUpdate\Live.exe','');
 QuarantineFile('C:\Users\inomarki\AppData\Roaming\Microsoft\Windows\themes\Qyhmhc.exe','');
 QuarantineFile('C:\Users\inomarki\AppData\Roaming\WindowsUpdate\Updater.exe','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.1.16908.217\softaal.sys','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.1.16908.217\QMUdisk.sys','');
 QuarantineFile('C:\Program Files\SearchesToYesbnd\Winsere.exe','');
 QuarantineFile('C:\ProgramData\vWdsManProv\WdsManPro.exe','');
 QuarantineFile('C:\Program Files\SearchesToYesbnd\bugreport.exe','');
 QuarantineFile('c:\program files\service.exe','');
 QuarantineFileF('c:\users\novichihina\appdata\local\smartweb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\sfk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\users\inomarki\appdata\local\temp\miapandtcq.exe', '');
 QuarantineFile('C:\Program Files\D649058A-1443193321-DC11-A37A-000C6E080350\hnsgFA8B.tmp', '');
 QuarantineFile('C:\Program Files\D649058A-1443193321-DC11-A37A-000C6E080350\knsj5584.tmp', '');
 QuarantineFile('C:\Program Files\D649058A-1443193321-DC11-A37A-000C6E080350\jnsmE3B5.tmp', '');
 QuarantineFile('C:\Users\inomarki\AppData\Roaming\WindowsUpdate\mobsync.exe', '');
 QuarantineFile('C:\Users\novichihina\AppData\Local\SmartWeb\SmartWebHelper.exe', '');
 QuarantineFile('C:\Program Files\sfk\sfkex.dll', '');
 QuarantineFile('C:\Program Files\sfk\sfkex.exe', '');
 QuarantineFile('C:\Program Files\sfk\sfkex64.exe', '');
 DeleteFile('c:\program files\service.exe','32');
 DeleteFile('C:\Program Files\SearchesToYesbnd\bugreport.exe','32');
 DeleteFile('C:\ProgramData\vWdsManProv\WdsManPro.exe','32');
 DeleteFile('C:\Program Files\SearchesToYesbnd\Winsere.exe','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16908.217\QMUdisk.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16908.217\softaal.sys','32');
 DeleteFile('C:\Users\inomarki\AppData\Roaming\WindowsUpdate\Updater.exe','32');
 DeleteFile('C:\Users\inomarki\AppData\Roaming\Microsoft\Windows\themes\Qyhmhc.exe','32');
 DeleteFile('C:\Users\inomarki\AppData\Roaming\WindowsUpdate\Live.exe','32');
 DeleteFile('C:\Users\inomarki\AppData\Roaming\Windows Live\jnrmkpvxva.exe','32');
 DeleteFile('C:\Users\inomarki\AppData\Roaming\WindowsUpdate\mobsync.exe','32');
 DeleteFile('C:\Users\inomarki\AppData\Roaming\MyDesktop\linkme3103.exe','32');
 DeleteFile('C:\Users\novichihina\AppData\Roaming\EZoRbOExTnknK3oD.exe','32');
 DeleteFile('C:\Users\inomarki\AppData\Roaming\FreeVPN\FreeVPN.exe','32');
 DeleteFile('C:\Users\inomarki\appdata\roaming\c731200','32');
 DeleteFile('C:\Users\inomarki\appdata\roaming\update\explorer.exe','32');
 DeleteFile('C:\Program Files\hp defender\hhandler.exe','32');
 DeleteFile('c:\users\inomarki\appdata\local\temp\miapandtcq.exe', '32');
 DeleteFile('C:\Program Files\D649058A-1443193321-DC11-A37A-000C6E080350\hnsgFA8B.tmp', '32');
 DeleteFile('C:\Program Files\D649058A-1443193321-DC11-A37A-000C6E080350\knsj5584.tmp', '32');
 DeleteFile('C:\Program Files\D649058A-1443193321-DC11-A37A-000C6E080350\jnsmE3B5.tmp', '32');
 DeleteFile('C:\Users\inomarki\AppData\Roaming\WindowsUpdate\mobsync.exe', '32');
 DeleteFile('C:\Users\novichihina\AppData\Local\SmartWeb\SmartWebHelper.exe', '32');
 DeleteFile('C:\Program Files\sfk\sfkex.dll', '32');
 DeleteFile('C:\Program Files\sfk\sfkex.exe', '32');
 DeleteFile('C:\Program Files\sfk\sfkex64.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "SmartWeb Upgrade Trigger Task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "EZoRbOExTnknK3oD.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "EZoRbOExTnknK3oD" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "FreeVPN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WinTaske" /F', 0, 15000, true);
 DeleteService('softaal');
 DeleteService('QMUdisk');
 DeleteService('Winsere');
 DeleteService('WdsManPro');
 DeleteService('ggbugreport');
 DeleteService('gyvixodu');
 DeleteService('homuceqe');
 DeleteService('lehicewu');
 DeleteFileMask('c:\users\novichihina\appdata\local\smartweb', '*', true);
 DeleteFileMask('c:\program files\sfk', '*', true);
 DeleteDirectory('c:\users\novichihina\appdata\local\smartweb');
 DeleteDirectory('c:\program files\sfk');
 DelCLSID('{B19ED566-D419-470b-B111-3C89040BC027}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sopropool');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Qyhmhc');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Sync Center');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','amigo');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','MyDesktop');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на сообщение
Поделиться на другие сайты

KLAN-4942860050

service.exe - Trojan-Ransom.Win32.Cryakl.amy

Детектирование файла будет добавлено в следующее обновление.

SFKEX.exe - not-a-virus:AdWare.Win32.MySearch.z
SFKEX64.exe - not-a-virus:AdWare.Win64.MySearch.d

Это файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление баз.

С уважением, Лаборатория Касперского


при чистке ClearLNK. Вылетает с ошибкой. Антивирусы все отключены.

Новые логи.

 

CollectionLog-2016.09.01-15.04.zip

Ссылка на сообщение
Поделиться на другие сайты

Новые логи.

Почему собирали в безопасном режиме? В обычном не загружается?

 

Попробуйте в обычном режиме:

  • Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на сообщение
Поделиться на другие сайты

ОК, в обычном режиме пробуйте:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\...\Run: [gmsd_ru_005010099] => [X]
CHR HKU\S-1-5-21-1512970425-1358480663-2046453674-1168\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
SearchScopes: HKLM -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1J11uXjiR7YVSkPeiOz7K-6CBamIBkxVA2HileNa_e-rjLtpcUfkKf1Kf_4z8JT6koe9wmTugIgn53qoq3G-eFB1Ai0HQSpTZBXafrvgHpTvm3SljJpBed0JZzRoMi8HDWWS4UIOGK5-uMSV1_NNJFXCtxBToSFpBx8WLlFQ34pc5uKdou7huZR_O&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1443508717&z=769fe95d350f3e7ce51da36g4zazbcaw2e5b8weo9q&from=face&uid=ST3250820NS_9QE2TPLCXXXX9QE2TPLC
CHR Extension: (Mail.Ru) - C:\Users\lovi\AppData\Local\Google\Chrome\User Data\Default\Extensions\ilamgbdaebkbpkkmfmmfbnaamkhijdek [2016-09-01]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\lovi\AppData\Local\Google\Chrome\User Data\Default\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj [2016-09-01]
S2 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [X]
S1 {9962419f-b4ee-4542-bf4c-6670cd51a193}Gw; system32\drivers\{9962419f-b4ee-4542-bf4c-6670cd51a193}Gw.sys [X]
2016-09-01 14:04 - 2016-09-01 14:04 - 00000082 _____ C:\Program Files\QSUPFMRBZJ.LLG
C:\Users\novichihina\AppData\Local\Temp\downloader.exe
C:\Users\novichihina\AppData\Local\Temp\icqsetup.exe
C:\Users\user\AppData\Local\Temp\BingBarSetup-Partner.exe
C:\Users\user\AppData\Local\Temp\downloader.exe
C:\Users\user\AppData\Local\Temp\siinst.exe
C:\Users\user\AppData\Local\Temp\strings.dll
Task: {A2C3A66A-322A-42DC-846F-082B334C91C4} - System32\Tasks\Microsoft\Windows\SystemRestore\FreeVPN => C:\Users\inomarki\AppData\Roaming\FreeVPN\FreeVPN.exe <==== ATTENTION
Task: {A6BE9461-48A9-4CE7-BEE0-135C32E1AA4B} - System32\Tasks\Microsoft\Windows\SystemRestore\AmigoKeeper => C:\Users\inomarki\AppData\Local\AmigoKeeper\AmigoKeeper.exe <==== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Удалите в MBAM все, кроме:

Папки:

Rogue.Multiple, C:\Users\user\AppData\Local\QIP, , [5507c4a94c4e58de2c370b9637cba55b],

Rogue.Multiple, C:\Users\user\AppData\Local\QIP\QIP Shot, , [5507c4a94c4e58de2c370b9637cba55b],

Rogue.Multiple, C:\Users\user\AppData\Local\QIP\QIP Shot\hostings, , [5507c4a94c4e58de2c370b9637cba55b],

Rogue.Multiple, C:\Users\user\AppData\Local\QIP\QIP Shot\Langs, , [5507c4a94c4e58de2c370b9637cba55b],

 

Файлы:

Trojan.Yakes, C:\Users\inomarki\Downloads\linii_vertikalnyy_ten_fon_raznocvetnyy.exe, , [4f0d105d64363cfada5febdba75dcd33],

PUP.Optional.DownloadHelper, C:\Users\novichihina\Downloads\akt-peredachi-denejnyih-sredstv-obrazets-po-kasse.exe, , [f8646b02b2e893a311b3aeee0cf534cc],

PUP.Optional.DownloadHelper, C:\Users\novichihina\Downloads\driverleader.zip, , [fa624528dbbf67cf01eda2faa958bd43],

PUP.Optional.HiRu, C:\Users\novichihina\Downloads\R-Studio_v7.6_Build_156433_RePack\R-Studio.v7.6.156433.exe, , [e67694d9603a4cea4320bf0f4eb6a25e],

RiskWare.Tool.CK, D:\distr\keygen.exe, , [72ea77f6b5e52016639d4e8537c91ee2],

Trojan.Agent, D:\distr\EvID4226Patch.exe, , [4b11224bf4a689ad7b3764d8837ffe02],

Trojan.StartPage.SMR, D:\Обменник1\Сканер\Finereader\ScreenshotReader.exe, , [96c6b0bdf2a8979fdc89d6bae818936d],

Rogue.Multiple, C:\Users\user\AppData\Local\QIP\QIP Shot\netclient.dll, , [5507c4a94c4e58de2c370b9637cba55b],

Rogue.Multiple, C:\Users\user\AppData\Local\QIP\QIP Shot\openlibeay32.dll, , [5507c4a94c4e58de2c370b9637cba55b],

Rogue.Multiple, C:\Users\user\AppData\Local\QIP\QIP Shot\openssleay32.dll, , [5507c4a94c4e58de2c370b9637cba55b],

Rogue.Multiple, C:\Users\user\AppData\Local\QIP\QIP Shot\PTS55F.ttf, , [5507c4a94c4e58de2c370b9637cba55b],

Rogue.Multiple, C:\Users\user\AppData\Local\QIP\QIP Shot\QIPShot.exe, , [5507c4a94c4e58de2c370b9637cba55b],

Rogue.Multiple, C:\Users\user\AppData\Local\QIP\QIP Shot\qsmenu.dll, , [5507c4a94c4e58de2c370b9637cba55b],

Rogue.Multiple, C:\Users\user\AppData\Local\QIP\QIP Shot\unins000.dat, , [5507c4a94c4e58de2c370b9637cba55b],

Rogue.Multiple, C:\Users\user\AppData\Local\QIP\QIP Shot\unins000.exe, , [5507c4a94c4e58de2c370b9637cba55b],

Rogue.Multiple, C:\Users\user\AppData\Local\QIP\QIP Shot\unins000.msg, , [5507c4a94c4e58de2c370b9637cba55b],

Rogue.Multiple, C:\Users\user\AppData\Local\QIP\QIP Shot\WebWindow.dll, , [5507c4a94c4e58de2c370b9637cba55b],

Rogue.Multiple, C:\Users\user\AppData\Local\QIP\QIP Shot\hostings\SmotriCom.dll, , [5507c4a94c4e58de2c370b9637cba55b],

Rogue.Multiple, C:\Users\user\AppData\Local\QIP\QIP Shot\hostings\social.dll, , [5507c4a94c4e58de2c370b9637cba55b],

Rogue.Multiple, C:\Users\user\AppData\Local\QIP\QIP Shot\Langs\Czech.dll, , [5507c4a94c4e58de2c370b9637cba55b],

Rogue.Multiple, C:\Users\user\AppData\Local\QIP\QIP Shot\Langs\English.dll, , [5507c4a94c4e58de2c370b9637cba55b],

Rogue.Multiple, C:\Users\user\AppData\Local\QIP\QIP Shot\Langs\French.dll, , [5507c4a94c4e58de2c370b9637cba55b],

Rogue.Multiple, C:\Users\user\AppData\Local\QIP\QIP Shot\Langs\German.dll, , [5507c4a94c4e58de2c370b9637cba55b],

Rogue.Multiple, C:\Users\user\AppData\Local\QIP\QIP Shot\Langs\Hebrew.dll, , [5507c4a94c4e58de2c370b9637cba55b],

Rogue.Multiple, C:\Users\user\AppData\Local\QIP\QIP Shot\Langs\Italian.dll, , [5507c4a94c4e58de2c370b9637cba55b],

Rogue.Multiple, C:\Users\user\AppData\Local\QIP\QIP Shot\Langs\Polish.dll, , [5507c4a94c4e58de2c370b9637cba55b],

Rogue.Multiple, C:\Users\user\AppData\Local\QIP\QIP Shot\Langs\Russian.dll, , [5507c4a94c4e58de2c370b9637cba55b],

Rogue.Multiple, C:\Users\user\AppData\Local\QIP\QIP Shot\Langs\Spanish.dll, , [5507c4a94c4e58de2c370b9637cba55b],

Rogue.Multiple, C:\Users\user\AppData\Local\QIP\QIP Shot\Langs\Ukrainian.dll, , [5507c4a94c4e58de2c370b9637cba55b],

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...