Шифровальщик

[Дмитрий Лубенцов]

Добрый день!

На сервере в паблике зашифровались файлы. Помогите расшифровать файлы

 

[mike 1]

https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[Дмитрий Лубенцов]

Прикрепляю файл

CollectionLog-2016.12.08-16.51.zip

[mike 1]

MPK кейлоггер сами себе ставили?

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 QuarantineFile('C:\ProgramData\Microsoft\drm\smss.exe','');
 StopService('WindowsDefender');
 DeleteService('WindowsDefender');
 TerminateProcessByName('c:\documents and settings\all users\microsoft\drm\wa\services.exe');
 QuarantineFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe','');
 DeleteFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\drm\smss.exe','32');
ExecuteSysClean;
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером.

[Дмитрий Лубенцов]

MPK кейлоггер сами себе ставили?

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 QuarantineFile('C:\ProgramData\Microsoft\drm\smss.exe','');
 StopService('WindowsDefender');
 DeleteService('WindowsDefender');
 TerminateProcessByName('c:\documents and settings\all users\microsoft\drm\wa\services.exe');
 QuarantineFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe','');
 DeleteFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\drm\smss.exe','32');
ExecuteSysClean;
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером.

 

CollectionLog-2016.12.12-14.19.zip

[mike 1]

Вопросы принципиально не замечаем?

[Дмитрий Лубенцов]

Вопросы принципиально не замечаем?

По поводу кейлоггер не могу ответить, досталось по наследству

[mike 1]

Сделайте лог полного сканирования MBAM http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-2.23670/

[Дмитрий Лубенцов]

Сделайте лог полного сканирования MBAM http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-2.23670/

mbam-log.txt

[mike 1]

Мда, не сервер, а проходной двор какой-то. Аж два локера поработали на сервере.

В MBAM удалите все, кроме:
 

Файл: 571
HackTool.Agent, C:\PROGRAM FILES (X86)\ACUNETIX\WEB VULNERABILITY SCANNER 8\KEYGEN_8X.EXE, Проигнорировано пользователем, [551], [1570],1.0.709
RiskWare.RemoteAdmin, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\APPDATA\ROAMING\WINDOWS\CONTROL\RFUSCLIENT.EXE, Проигнорировано пользователем, [460], [122548],1.0.709
RiskWare.RemoteAdmin, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\APPDATA\ROAMING\WINDOWS\CONTROL\RUTSERV.EXE, Проигнорировано пользователем, [460], [122548],1.0.709
Trojan.MalPack, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\+\AAAA.EXE, Проигнорировано пользователем, [74], [350427],1.0.709
Trojan.Stealer.ORM, C:\BUILD\SVCHOST.EXE, Проигнорировано пользователем, [8146], [76167],1.0.709
Trojan.Agent.RC, C:\BUILD\BUILD.EXE, Проигнорировано пользователем, [3776], [276646],1.0.709
RiskWare.RemoteAdmin, C:\PROGRAM FILES\ASRF\HOST\RUTSERV.EXE, Проигнорировано пользователем, [460], [122548],1.0.709

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

[Дмитрий Лубенцов]

 

Мда, не сервер, а проходной двор какой-то. Аж два локера поработали на сервере.

 

В MBAM удалите все, кроме:

 

Файл: 571
HackTool.Agent, C:\PROGRAM FILES (X86)\ACUNETIX\WEB VULNERABILITY SCANNER 8\KEYGEN_8X.EXE, Проигнорировано пользователем, [551], [1570],1.0.709
RiskWare.RemoteAdmin, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\APPDATA\ROAMING\WINDOWS\CONTROL\RFUSCLIENT.EXE, Проигнорировано пользователем, [460], [122548],1.0.709
RiskWare.RemoteAdmin, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\APPDATA\ROAMING\WINDOWS\CONTROL\RUTSERV.EXE, Проигнорировано пользователем, [460], [122548],1.0.709
Trojan.MalPack, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\+\AAAA.EXE, Проигнорировано пользователем, [74], [350427],1.0.709
Trojan.Stealer.ORM, C:\BUILD\SVCHOST.EXE, Проигнорировано пользователем, [8146], [76167],1.0.709
Trojan.Agent.RC, C:\BUILD\BUILD.EXE, Проигнорировано пользователем, [3776], [276646],1.0.709
RiskWare.RemoteAdmin, C:\PROGRAM FILES\ASRF\HOST\RUTSERV.EXE, Проигнорировано пользователем, [460], [122548],1.0.709

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

 

mbam-log2.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Дмитрий Лубенцов]

log

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  GroupPolicy\User: Restriction <======= ATTENTION
  GroupPolicyUsers\S-1-5-21-3113940813-3145945764-1477822219-1007\User: Restriction <======= ATTENTION
  FirewallRules: [{1EB0EDED-2013-4A2E-898D-C830B7DD82C8}] => C:\Users\admin\AppData\Local\Temp\FWUpgrader.exe
  FirewallRules: [{1234ECEF-4938-4009-BC37-3BECED3FEFF2}] => C:\Users\admin\AppData\Local\Temp\FWUpgrader.exe
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

[Дмитрий Лубенцов]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  GroupPolicy\User: Restriction <======= ATTENTION
  GroupPolicyUsers\S-1-5-21-3113940813-3145945764-1477822219-1007\User: Restriction <======= ATTENTION
  FirewallRules: [{1EB0EDED-2013-4A2E-898D-C830B7DD82C8}] => C:\Users\admin\AppData\Local\Temp\FWUpgrader.exe
  FirewallRules: [{1234ECEF-4938-4009-BC37-3BECED3FEFF2}] => C:\Users\admin\AppData\Local\Temp\FWUpgrader.exe
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Fixlog.txt