и снова *.no more ransom

[albert369]

было открыто электронное сообщение, исполнительные файлы удалены. но java script еще остался, как его убрать?

остальное все как у всех, есть способы вылечить?

Addition.txt

FRST.txt

[Sandor]

Здравствуйте!

 

Выполните Порядок оформления запроса о помощи

[albert369]

добавил лог Автологгера

CollectionLog-2016.12.14-11.51.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Browsers\exe.emorhc.bat', '');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Browsers\exe.erolpxei.bat', '');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Browsers\exe.rehcnual.bat', '');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Browsers\exe.emorhc.bat', '32');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Browsers\exe.erolpxei.bat', '32');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Browsers\exe.rehcnual.bat', '32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Подготовьте свежие логи FRST.

[albert369]

[KLAN-5510966619]

ClearLNK-14.12.2016_16-12.log

Addition.txt

FRST.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-515967899-879983540-1801674531-500\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
URLSearchHook: HKU\S-1-5-21-515967899-879983540-1801674531-500 - (No Name) - {6c97a91e-4524-4019-86af-2aa2d567bf5c} -  No File
CHR HomePage: Default -> hxxp://mail.ru/cnt/7993/
CHR StartupUrls: Default -> "hxxp://www.mail.ru/cnt/10437"
CHR Extension: (Mail.Ru) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ilamgbdaebkbpkkmfmmfbnaamkhijdek [2016-06-01]
2016-12-13 13:25 - 2016-12-13 13:25 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\System32
2016-12-13 12:21 - 2016-12-13 12:21 - 00004170 _____ C:\README9.txt
2016-12-13 12:21 - 2016-12-13 12:21 - 00004170 _____ C:\README8.txt
2016-12-13 12:21 - 2016-12-13 12:21 - 00004170 _____ C:\README7.txt
2016-12-13 12:21 - 2016-12-13 12:21 - 00004170 _____ C:\README6.txt
2016-12-13 12:21 - 2016-12-13 12:21 - 00004170 _____ C:\README5.txt
2016-12-13 12:21 - 2016-12-13 12:21 - 00004170 _____ C:\README4.txt
2016-12-13 12:21 - 2016-12-13 12:21 - 00004170 _____ C:\README3.txt
2016-12-13 12:21 - 2016-12-13 12:21 - 00004170 _____ C:\README2.txt
2016-12-13 12:21 - 2016-12-13 12:21 - 00004170 _____ C:\README10.txt
2016-12-13 12:21 - 2016-12-13 12:21 - 00004170 _____ C:\README1.txt
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-2ff5160b.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-3451bf6a.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-5c40c6f2.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-8fa7323a.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-c1e8a229.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-e8c4fb8.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-fe69b89c.exe
C:\Documents and Settings\Администратор\Local Settings\Temp\AmigoDistrib.exe
C:\Documents and Settings\Администратор\Local Settings\Temp\downloader.exe
C:\Documents and Settings\Администратор\Local Settings\Temp\GuardMailRu.exe
C:\Documents and Settings\Администратор\Local Settings\Temp\libeay32.dll
C:\Documents and Settings\Администратор\Local Settings\Temp\loadmoney.exe
C:\Documents and Settings\Администратор\Local Settings\Temp\MailRuUpdater.exe
C:\Documents and Settings\Администратор\Local Settings\Temp\msvcr120.dll
C:\Documents and Settings\Администратор\Local Settings\Temp\muzaf1.dll
C:\Documents and Settings\Администратор\Local Settings\Temp\muzapp.dll
C:\Documents and Settings\Администратор\Local Settings\Temp\muzapp.exe
C:\Documents and Settings\Администратор\Local Settings\Temp\muzwmts.dll
C:\Documents and Settings\Администратор\Local Settings\Temp\nse2F2.tmp.exe
AlternateDataStreams: C:\Documents and Settings\Администратор:id [32]
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[albert369]

не знаю как Вам удается так быстро реагировать, большое спасибо за оказываемую помощь!

Fixlog.txt

[Sandor]

Следы вымогателя и адварь очищены. С расшифровкой, увы, помочь не сможем.

[albert369]

выкладываю исходный js скрипт. пароль infected

Изменено 15 декабря, 2016 пользователем Sandor

[Sandor]

Это лишнее. К сожалению, пока нет инструментов для расшифровки этого типа.