HELP!

[Руслан Сабреков]

Поймали вирус. ПОМОГИТЕ

CollectionLog-2016.09.26-11.12.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files (x86)\Common Files\95244DE4-BB1D-4C3A-B5AE-76CC1A2892A3\6BF2E476-F029-4E37-A110-7581136CF501.exe','');
 QuarantineFileF('c:\users\евгений\appdata\local\fupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\евгений\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Евгений\AppData\Local\fupdate\fupdate.exe', '');
 QuarantineFile('C:\Users\Евгений\AppData\Local\Microsoft\408312860927C74B7ABCBF44C1C64E2F\59F2C83E7330F1BCA84B41FAF3C8DB4D.exe', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\Users\Евгений\AppData\Local\Hostinstaller\2049702709_monster.exe', '');
 DeleteFile('C:\Program Files (x86)\Common Files\95244DE4-BB1D-4C3A-B5AE-76CC1A2892A3\6BF2E476-F029-4E37-A110-7581136CF501.exe','32');
 DeleteFile('C:\Users\Евгений\AppData\Local\Microsoft\408312860927C74B7ABCBF44C1C64E2F\59F2C83E7330F1BCA84B41FAF3C8DB4D.exe','32');
 DeleteFile('C:\Users\Евгений\AppData\Local\fupdate\fupdate.exe', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\Users\Евгений\AppData\Local\Hostinstaller\2049702709_monster.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\C8DB4D3FAF14B48ACB1F0337E359F2C8" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\C8DB4D3FAF14B48ACB1F0337E359F2C8SB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\C8DB4D3FAF14B48ACB1F0337E359F2C8" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\C8DB4D3FAF14B48ACB1F0337E359F2C8SB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 DeleteFileMask('c:\users\евгений\appdata\local\fupdate', '*', true);
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true);
 DeleteFileMask('c:\users\евгений\appdata\local\hostinstaller', '*', true);
 DeleteDirectory('c:\users\евгений\appdata\local\fupdate');
 DeleteDirectory('c:\programdata\krb updater utility');
 DeleteDirectory('c:\program files (x86)\kinoroom browser');
 DeleteDirectory('c:\users\евгений\appdata\local\hostinstaller');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','C8DB4D3FAF14B48ACB1F0337E359F2C8SB');
ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено 26 сентября, 2016 пользователем Sandor

[Руслан Сабреков]

Как мне дешифровать свои файлы?

 

ClearLNK-26.09.2016_14-12.log

[Sandor]

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[Руслан Сабреков]

Как мне дешифровать файлы????

ClearLNK-26.09.2016_16-10.log

[Sandor]

@Руслан Сабреков, про шифрование Вы не говорили. Жду повторный CollectionLog, сделанный с помощью Автологера.

[Руслан Сабреков]

Высылаю

CollectionLog-2016.09.26-15.21.zip

[Sandor]

• Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве. Изменено 26 сентября, 2016 пользователем Sandor

[Руслан Сабреков]

Готово

AdwCleanerS0.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно Сбросить:
  • Политики IE
  • Политики Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Руслан Сабреков]

OK

FRST.txt

Shortcut.txt

Addition.txt

AdwCleanerC2.txt

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare Ultimate 9

Driver Booster 3.4

IObit Malware Fighter 4

IObit Uninstaller

Smart Defrag 5

Surfing Protection

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR Extension: (News Tab) - C:\Users\Евгений\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaebjepcfidgkojljbgoilgkgklehldj [2016-08-20]
CHR Extension: (Boyfire) - C:\Users\Евгений\AppData\Local\Google\Chrome\User Data\Default\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-08-20]
OPR Extension: (News Tab) - C:\Users\Евгений\AppData\Roaming\Opera Software\Opera Stable\Extensions\aaebjepcfidgkojljbgoilgkgklehldj [2016-08-20]
OPR Extension: (Boyfire) - C:\Users\Евгений\AppData\Roaming\Opera Software\Opera Stable\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-08-20]
2016-09-20 18:13 - 2016-09-20 18:13 - 03148854 _____ C:\Users\Евгений\AppData\Roaming\42FBA66842FBA668.bmp
2016-09-20 18:13 - 2016-09-20 18:13 - 00004170 _____ C:\Users\Евгений\Desktop\README9.txt
2016-09-20 18:13 - 2016-09-20 18:13 - 00004170 _____ C:\Users\Евгений\Desktop\README8.txt
2016-09-20 18:13 - 2016-09-20 18:13 - 00004170 _____ C:\Users\Евгений\Desktop\README7.txt
2016-09-20 18:13 - 2016-09-20 18:13 - 00004170 _____ C:\Users\Евгений\Desktop\README6.txt
2016-09-20 18:13 - 2016-09-20 18:13 - 00004170 _____ C:\Users\Евгений\Desktop\README5.txt
2016-09-20 18:13 - 2016-09-20 18:13 - 00004170 _____ C:\Users\Евгений\Desktop\README4.txt
2016-09-20 18:13 - 2016-09-20 18:13 - 00004170 _____ C:\Users\Евгений\Desktop\README3.txt
2016-09-20 18:13 - 2016-09-20 18:13 - 00004170 _____ C:\Users\Евгений\Desktop\README2.txt
2016-09-20 18:13 - 2016-09-20 18:13 - 00004170 _____ C:\Users\Евгений\Desktop\README10.txt
2016-09-20 18:13 - 2016-09-20 18:13 - 00004170 _____ C:\Users\Евгений\Desktop\README1.txt
2016-09-20 15:12 - 2016-09-20 20:23 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-09-20 19:46 - 2016-07-19 19:52 - 00000266 _____ C:\WINDOWS\Tasks\ASCU9_SkipUac_Евгений.job
2016-09-20 19:18 - 2016-06-10 22:10 - 00000000 ____D C:\Users\Евгений\AppData\Roaming\Thunderbird
2016-09-20 18:34 - 2016-08-21 15:57 - 00000000 ____D C:\Users\Евгений\AppData\Roaming\IObit
2016-09-20 18:34 - 2016-06-19 22:59 - 00000000 ____D C:\Users\Евгений\AppData\LocalLow\IObit
2016-09-20 18:34 - 2016-06-19 22:59 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-09-20 18:05 - 2016-06-19 23:00 - 00000000 ____D C:\Users\Евгений\AppData\Roaming\ProductData
2016-09-19 09:26 - 2016-08-21 15:58 - 00002323 _____ C:\Users\Public\Desktop\Advanced SystemCare Ultimate 9.lnk
Task: {2EC95E32-ADB2-4AB6-9023-C367263DE388} - System32\Tasks\SmartDefrag_Startup => C:\Program Files (x86)\IObit\Smart Defrag\SmartDefrag.exe
Task: {360D01C0-26E6-4F1D-9D64-359283EA8B3D} - System32\Tasks\Driver Booster SkipUAC (Евгений) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
Task: {B7316464-B180-4918-A4B5-FBD9BDE70EA5} - System32\Tasks\Uninstaller_SkipUac_Евгений => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe [2016-05-12] (IObit)
Task: {C36D622C-BF51-4511-9BFC-1A4B7CA58D58} - System32\Tasks\SmartDefrag_AutoAnalyze => C:\Program Files (x86)\IObit\Smart Defrag\AutoDefrag.exe
Task: {C48CAFFC-ED66-4C54-AAB1-8A3AE22C3CF0} - System32\Tasks\ASCU9_PerformanceMonitor => C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate\Monitor.exe
Task: {D7D31EA6-7E5B-4E6A-869C-002AA1815610} - System32\Tasks\MailRuUpdater => C:\Users\Евгений\AppData\Local\Mail.Ru\MailRuUpdater.exe
Task: {DA71A0CD-B952-4DF2-BC97-F21EF0D67B7E} - System32\Tasks\SmartDefrag_Update => C:\Program Files (x86)\IObit\Smart Defrag\AutoUpdate.exe
Task: {DAF17B1B-D168-41A1-A720-8AEB4527BFA8} - System32\Tasks\ASCU9_SkipUac_Евгений => C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate\ASC.exe [2016-07-15] (IObit)
Task: {F45F97E4-C4E3-40EB-B8FF-6A4585587533} - System32\Tasks\Driver Booster Scheduler => C:\Program Files (x86)\IObit\Driver Booster\Scheduler.exe
Task: C:\WINDOWS\Tasks\ASCU9_SkipUac_Евгений.job => C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate\ASC.exe
Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_Евгений.job => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
Hosts:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Руслан Сабреков]

Сделано

Fixlog.txt

[Sandor]

Адварь и следы вымогателя очищены. С расшифровкой, к сожалению, помочь не сможем.

[Руслан Сабреков]

Спасибо!!!!!

Вы вообще не расшифровываете?