Ransomware Spore

[July]

Занесли шифровальщик Spore через документ из эл. почты, на Win7 восстановили документы с помощью предыдущих версий файла, на ХР естественно ничего не восстановить. Как полностью вычистить ПК от самого шифровальщика?

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[July]

Вирус распространялся так: пользователем был установлен файл, скачанный из сети. Шифровальщик сделал все папки скрытыми, а вместо них создал файл с названиями папки, при запуске которого открывалась папка и запускался на исполнения файл шифровальщика из Temp. Из-за того, что на машине была общая папка, то шифровальщик протащил себя с ее помощью по всем, кто заходил в общую папку.

CollectionLog-2017.01.15-11.35.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[July]

Результаты

Scan.rar

[mike 1]

Логи прикрепите в виде текстовых документов 

[July]

Результаты

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  Startup: C:\Users\1C-SERVER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUE29-16OZA-TKFTZ-TXFKE-THEFX-TKKEY.HTML [2017-01-13] ()
  CHR HKU\S-1-5-21-1182055513-950496916-150701665-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\1C-SERVER\AppData\Local\Google\Chrome\User Data\Default\Extensions\mgpdmkkhjffhfkbpeigghejkngiaaike [2016-12-29]
  CHR Extension: (Стартовая — Яндекс) - C:\Users\1C-SERVER\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjfkgjlnocfakoheoapicnknoglipapd [2016-12-29]
  OPR Extension: (SuperMegaBest.com) - C:\Users\1C-SERVER\AppData\Roaming\Opera Software\Opera Stable\Extensions\cbbpicnbcjaeeenbmilcnaojfgnmlhhb [2016-11-09]
  2017-01-13 16:51 - 2017-01-13 17:00 - 1544088 _____ () C:\Users\1C-SERVER\AppData\Roaming\1291802171
  2016-02-08 08:20 - 2016-02-08 08:20 - 0000968 _____ () C:\Users\1C-SERVER\AppData\Roaming\dj.log
  2017-01-13 16:59 - 2017-01-13 16:59 - 0009094 ____R () C:\Users\1C-SERVER\AppData\Roaming\RUE29-16OZA-TKFTZ-TXFKE-THEFX-TKKEY.HTML
  2017-01-13 16:56 - 2017-01-13 16:56 - 0001088 ____R () C:\Users\1C-SERVER\AppData\Roaming\RUE29-16OZA-TKFTZ-TXFKE-THEFX-TKKEY.KEY
  2017-01-13 16:59 - 2017-01-13 16:59 - 0823712 ____R () C:\Users\1C-SERVER\AppData\Roaming\RUE29-16OZA-TKFTZ-TXFKE-THEFX-TKKEY.LST
  2013-09-30 08:11 - 2013-08-01 08:11 - 0000032 ____R () C:\ProgramData\hash.dat
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

[July]

Результаты

Fixlog.txt

[mike 1]

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525