Отработал шифровальщик Encoder.7111 no_more_ransom

[Monfis18]

Доброй ночи!

Запустил установку какой-то "микрософтовской" проги.... из названия запомнил два слова из 4-х: Microsoft и Volume

Собственно, все файлы зашифрованы.

Прогнал CureIt, нашел три угрозы - далее он их обезвредил и поместил в карантин.

 

Прошу помощи.

CollectionLog-2017.01.17-02.11.zip

[SQ]

Здравствуйте,


HiJackThis (утилита находится в папке Автологера - ...\AutoLogger\HiJackThis\) профиксить

O4 - HKCU\..\Run: [CSRSS] "C:\ProgramData\Drivers\csrss.exe"

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 TerminateProcessByName('c:\programdata\drivers\csrss.exe');
 QuarantineFile('c:\programdata\drivers\csrss.exe','');
 DeleteFile('c:\programdata\drivers\csrss.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)


- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Monfis18]

Добрый день,

Ответ от newvirus@kaspersky.com:

Re: Запрос на исследование вредоносного файла [KLAN-5668916120]

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.
 

В файлах найдены вредоносные программы
csrss.exe - HEUR:Trojan.Win32.Generic
Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.
Антивирусная Лаборатория, Kaspersky Lab HQ

 

Файлы FRST.txt и Addition.txt прикрепляю.

Addition.txt

FRST.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  2017-01-17 00:48 - 2017-01-17 01:09 - 00000000 __SHD C:\Users\Все пользователи\Csrss
  2017-01-17 00:48 - 2017-01-17 01:09 - 00000000 __SHD C:\ProgramData\Csrss
  2017-01-17 00:47 - 2017-01-17 00:47 - 06912054 _____ C:\Users\User\AppData\Roaming\3ABB78993ABB7899.bmp
  2017-01-17 00:47 - 2017-01-17 00:47 - 00004186 _____ C:\Users\User\Desktop\README9.txt
  2017-01-17 00:47 - 2017-01-17 00:47 - 00004186 _____ C:\Users\User\Desktop\README8.txt
  2017-01-17 00:47 - 2017-01-17 00:47 - 00004186 _____ C:\Users\User\Desktop\README7.txt
  2017-01-17 00:47 - 2017-01-17 00:47 - 00004186 _____ C:\Users\User\Desktop\README6.txt
  2017-01-17 00:47 - 2017-01-17 00:47 - 00004186 _____ C:\Users\User\Desktop\README5.txt
  2017-01-17 00:47 - 2017-01-17 00:47 - 00004186 _____ C:\Users\User\Desktop\README4.txt
  2017-01-17 00:47 - 2017-01-17 00:47 - 00004186 _____ C:\Users\User\Desktop\README3.txt
  2017-01-17 00:47 - 2017-01-17 00:47 - 00004186 _____ C:\Users\User\Desktop\README2.txt
  2017-01-17 00:47 - 2017-01-17 00:47 - 00004186 _____ C:\Users\User\Desktop\README10.txt
  2017-01-16 09:46 - 2017-01-17 01:09 - 00000000 __SHD C:\Users\Все пользователи\Windows
  2017-01-16 09:46 - 2017-01-17 01:09 - 00000000 __SHD C:\ProgramData\Windows
  2017-01-16 09:46 - 2017-01-16 09:46 - 00935657 _____ C:\Users\User\AppData\Roamingpyx58.eXe
  2017-01-17 00:47 - 2017-01-17 00:47 - 6912054 _____ () C:\Users\User\AppData\Roaming\3ABB78993ABB7899.bmp
  2016-01-17 21:38 - 2016-01-17 21:42 - 0000000 _____ () C:\Users\User\AppData\Local\{026A1BA4-0EF7-438C-83B7-801C803891FD}
  C:\Users\User\AppData\Local\Temp\AAMHelper.exe
  C:\Users\User\AppData\Local\Temp\AdobeApplicationManager.exe
  C:\Users\User\AppData\Local\Temp\BF51B3F3.exe
  C:\Users\User\AppData\Local\Temp\Foxit Reader Updater.exe
  C:\Users\User\AppData\Local\Temp\Foxit Updater.exe
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

[Monfis18]

Лог-файл вложил.

Fixlog.txt

[SQ]

Пробуйте https://forum.kasperskyclub.ru/index.php?showtopic=48525

P.S. Не удаляете каталог C:\FRST до тех пор пока не решите вопрос с расшифровкой

[Monfis18]

Спасибо за помощь!

Не подскажете, что это был за вирус(ы) в итоге?

[SQ]

Спасибо за помощь!

Не подскажете, что это был за вирус(ы) в итоге?

csrss.exe - HEUR:Trojan.Win32.Generic, в следующих каталогах:

C:\ProgramData\Drivers
C:\ProgramData\Windows

[Monfis18]

Доброго дня!

Посоветуйте какие файлы лучше всего вложить в запросе для большей вероятности расшифровки вирусной лабораторией.

README1.txt...

 

Спасибо)

[SQ]

Доброго дня!

Посоветуйте какие файлы лучше всего вложить в запросе для большей вероятности расшифровки вирусной лабораторией.

README1.txt...

 

Спасибо)

Следуйте инструкцией, далее если потребуются какие-то файлы, то тех. поддержка ЛК опишет Вам.