Шифровальщик. KVRT не видит

[Kiss]

22.12.2016 примерно в 19:20 появилось окно с CryptoLocker с требованием заплатить. Все файлы на всех дисках оказались зашифрованными. KVRT ничего не находит. Во вложении есть зашифрованный txt файл, может кому удастся его расшифровать.

CollectionLog-2016.12.23-21.20.zip

вирусы4.txt

[thyrex]

https://www.virustotal.com/en/file/1c41e1b566753a54a47bd905d844d78a927c1b49bbd5a47c3542f302dee18a5b/analysis/

PClock - никаких шансов для расшифровки

[Kiss]

Грустно... Как удалить его из системы?

[SQ]

Здравствуйте,

 

 

HiJackThis (из каталога автологгера) профиксить

R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command, = C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1414205333&from=smt&uid=TOSHIBAXMQ01ABD032_82L2F5STSXX82L2F5STS
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1414205333&from=smt&uid=TOSHIBAXMQ01ABD032_82L2F5STSXX82L2F5STS&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = 72bcb6fa5ef811e6b1c250b7c34c0c70
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1414205333&from=smt&uid=TOSHIBAXMQ01ABD032_82L2F5STSXX82L2F5STS&q={searchTerms}
O2 - BHO: YTAHelperBHO - {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} - (no file)
O2 - BHO: browse pulse - {ed8e593d-1965-4e45-9d55-d56162dcde14} - C:\Program Files\browse pulse\Extensions\ed8e593d-1965-4e45-9d55-d56162dcde14.dll (file missing)
O4 - HKCU\..\Run: [2a45734a] C:\Users\Mikhail\AppData\Roaming\Microsoft\Crypto\sysgop.exe

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end; 
 TerminateProcessByName('c:\users\mikhail\appdata\roaming\microsoft\crypto\sysgop.exe');
 DeleteFile('C:\Windows\Tasks\PWKN.job','32');
 QuarantineFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-1-6.exe','');
 QuarantineFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-1-7.exe','');
 QuarantineFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-10.exe','');
 QuarantineFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-5.exe','');
 QuarantineFileF('C:\Program Files\SmartSaver+ 15', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFileF('c:\users\mikhail\appdata\roaming\microsoft\crypto', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFile('C:\Program Files\browse pulse\Extensions\ed8e593d-1965-4e45-9d55-d56162dcde14.dll','');
 QuarantineFile('C:\Users\Mikhail\AppData\Local\Kometa\Application\kometa.exe','');
 QuarantineFile('c:\users\mikhail\appdata\roaming\microsoft\crypto\sysgop.exe','');
 QuarantineFile('C:\Users\Mikhail\AppData\Roaming\PWKN.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Performance\Monitor\PerformanceMonitor.dll','');
 DeleteFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-1-6.exe','32');
 DeleteFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-1-7.exe','32');
 DeleteFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-10.exe','32');
 DeleteFile('C:\Program Files\SmartSaver+ 15\916a028c-c71c-498c-8bc0-ff59580dd93d-5.exe','32');
 DeleteFile('C:\Users\Mikhail\AppData\Local\Kometa\Application\kometa.exe','32');
 DeleteFile('C:\Users\Mikhail\AppData\Roaming\Microsoft\Crypto\sysgop.exe','32');
 DeleteFile('C:\Users\Mikhail\AppData\Roaming\PWKN.exe','32');
 DeleteFile('C:\Windows\Tasks\916a028c-c71c-498c-8bc0-ff59580dd93d-1-6.job','32');
 DeleteFile('C:\Windows\Tasks\916a028c-c71c-498c-8bc0-ff59580dd93d-1-7.job','32');
 DeleteFile('C:\Windows\Tasks\916a028c-c71c-498c-8bc0-ff59580dd93d-10_user.job','32');
 DeleteFile('C:\Windows\Tasks\916a028c-c71c-498c-8bc0-ff59580dd93d-5.job','32');
 DeleteFile('C:\Windows\Tasks\916a028c-c71c-498c-8bc0-ff59580dd93d-5_user.job','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2a45734a');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\IePluginServices','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect','EventMessageFile'); 
 BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Подготовьте лог AdwCleaner и приложите его в теме.

[Kiss]

KLAN-5561710950

 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

В файлах найдены вредоносные программы
sysgop.exe - Trojan.Win32.Inject.acuex

Вредоносные программы не найдены в файлах:
PerformanceMonitor.dll

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

AdwCleanerS0.txt

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Kiss]

Все удалено.

AdwCleanerC0.txt

Изменено 24 декабря, 2016 пользователем Kiss

[SQ]

 

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Kiss]

Сделано.

Addition.txt

FRST.txt

[SQ]

Знакома ли Вам?

HKU\S-1-5-21-1580852256-1425000765-2085901234-1000\Software\Classes\384c47: "C:\Windows\system32\mshta.exe" "javascript:i7j1=new ActiveXObject("WScript.Shell");rqA1K=i7j1.RegRead("HKCU\\software\\eyaghpske\\tdcyhhfxtd");eval(rqA1K); <===== ATTENTION
HKU\S-1-5-21-1580852256-1425000765-2085901234-1000\Software\Classes\384c478: "C:\Windows\system32\mshta.exe" "javascript:Q9Co0v="a4xsU";Fi72=new ActiveXObject("WScript.Shell");V03gpet="YHyzofXu";tV3aq=Fi72.RegRead("HKCU\\software\\eyaghpske\\tdcyhhfxtd");R4iCp="H7";eval(tV3aq);y5ITb="s";" <===== ATTENTION

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  HKLM\...\Run: [] => [X]
  GroupPolicy: Restriction - Chrome <======= ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  S1 BAPIDRV; system32\DRIVERS\BAPIDRV.sys [X]
  2016-12-22 19:46 - 2016-12-22 19:46 - 00002154 _____ C:\Users\Mikhail\Desktop\Your files are locked !.txt
  2016-12-22 19:46 - 2016-12-22 19:46 - 00002154 _____ C:\Users\Mikhail\Desktop\Your files are locked !!.txt
  2016-12-22 19:46 - 2016-12-22 19:46 - 00002154 _____ C:\Users\Mikhail\Desktop\Your files are locked !!!.txt
  2016-12-22 19:46 - 2016-12-22 19:46 - 00002154 _____ C:\Users\Mikhail\Desktop\Your files are locked !!!!.txt
  2016-12-22 19:46 - 2016-12-22 19:46 - 00002154 _____ C:\Users\Mikhail\Desktop\Your files are locked !!!!!.txt
  Reboot:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Kiss]

Нет, не знакома.

Fixlog.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  Reg: reg export "HKU\S-1-5-21-1580852256-1425000765-2085901234-1000\Software\Classes\384c47:" C:\FRST\Quarantine\backup_384c47.reg
  Reg: reg export "HKU\S-1-5-21-1580852256-1425000765-2085901234-1000\Software\Classes\384c478:" C:\FRST\Quarantine\backup_384c478.reg
  HKU\S-1-5-21-1580852256-1425000765-2085901234-1000\Software\Classes\384c47: "C:\Windows\system32\mshta.exe" "javascript:i7j1=new ActiveXObject("WScript.Shell");rqA1K=i7j1.RegRead("HKCU\\software\\eyaghpske\\tdcyhhfxtd");eval(rqA1K); <===== ATTENTION
  HKU\S-1-5-21-1580852256-1425000765-2085901234-1000\Software\Classes\384c478: "C:\Windows\system32\mshta.exe" "javascript:Q9Co0v="a4xsU";Fi72=new ActiveXObject("WScript.Shell");V03gpet="YHyzofXu";tV3aq=Fi72.RegRead("HKCU\\software\\eyaghpske\\tdcyhhfxtd");R4iCp="H7";eval(tV3aq);y5ITb="s";" <===== ATTENTION
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

 

[Kiss]

Вот.

Fixlog.txt

[SQ]

На этом всё!

 

P.S.Не удаляйте каталог C:\FRST до тех пор пока не решите вопрос с расшифровкой.

[Cronbyte]

Недавно наткнулся на форум с положительными отзывами об этом инструменте в качестве расшифровщика PClock [удалено]. Проверил его в качестве сканера - похоже на правду. Если есть возможность, проверьте его в качестве ремувера. Спасибо!