Шифровальщик Spore Ransomware

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\koryakin.LANIT\AppData\Roaming\JijlWit\Dhoryfto.exe','');
 QuarantineFile('C:\ProgramData\iWMiniProi\WMiniPro.exe','');
 QuarantineFile('C:\Program Files (x86)\006C9852-1428257948-E211-8034-B02D83049646\knso4AE9.tmp', '');
 QuarantineFile('C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RU9CD-1EEFH-XTOFE-ATAAO-TATAE-FTRHZ.HTML', '');
 DeleteFile('C:\ProgramData\iWMiniProi\WMiniPro.exe','32');
 DeleteFile('C:\Users\koryakin.LANIT\AppData\Roaming\JijlWit\Dhoryfto.exe','32');
 DeleteFile('C:\Program Files (x86)\006C9852-1428257948-E211-8034-B02D83049646\knso4AE9.tmp', '32');
 DeleteFile('C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RU9CD-1EEFH-XTOFE-ATAAO-TATAE-FTRHZ.HTML', '32');
 DeleteService('Yimieeu');
 DeleteService('WdsManPro');
 DeleteService('puwehevo');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O17 - HKLM\System\CSS\Services\Tcpip\..\{775B09B4-E045-4C17-8123-5A63AFDC9063}: NameServer = 104.197.191.4
O17 - HKLM\System\CSS\Services\Tcpip\..\{8718928D-CBEB-45EA-A621-800A9249001D}: NameServer = 104.197.191.4
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{775B09B4-E045-4C17-8123-5A63AFDC9063}: NameServer = 104.197.191.4
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{8718928D-CBEB-45EA-A621-800A9249001D}: NameServer = 104.197.191.4

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

23 января, 2017

Ответ от newvirus@kaspersky.com:

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
RU9CD-1EEFH-XTOFE-ATAAO-TATAE-FTRHZ.HTML

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

[KLAN-5695486740]

AdwCleanerS0.txt

ClearLNK-23.01.2017_12-14.log

23 января, 2017

1. В безопасном режиме:

Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2. В обычном режиме:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

23 января, 2017

Готово

Addition.txt

FRST.txt

Shortcut.txt

23 января, 2017

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
FF user.js: detected! => C:\Users\koryakin.LANIT\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2016-08-05]
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> search.mpc.am
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id={81EA736D-38AE-412B-B14A-1635CE24796D}&gp=789106
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\koryakin.LANIT\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2015-11-03]
FF Extension: (Поиск@Mail.Ru) - C:\Users\koryakin.LANIT\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2015-11-03]
FF Extension: (Спутник @Mail.Ru) - C:\Users\koryakin.LANIT\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [2013-02-24] [not signed]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\koryakin.LANIT\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2015-11-03]
S4 Mucbipinod; "C:\Users\koryakin.LANIT\AppData\Roaming\Vuwodog\Vuwodog.exe" -cms [X]
2017-01-20 10:21 - 2017-01-20 10:21 - 02076160 ____R C:\Users\koryakin.LANIT\AppData\Roaming\RU9CD-1EEFH-XTOFE-ATAAO-TATAE-FTRHZ.LST
2017-01-20 10:20 - 2017-01-20 10:20 - 00014462 ____R C:\Users\koryakin.LANIT\AppData\Roaming\RU9CD-1EEFH-XTOFE-ATAAO-TATAE-FTRHZ.HTML
2017-01-20 10:17 - 2017-01-20 10:22 - 02965984 _____ C:\Users\koryakin.LANIT\AppData\Roaming\3760889526
2017-01-20 10:17 - 2017-01-20 10:17 - 00001088 ____R C:\Users\koryakin.LANIT\AppData\Roaming\RU9CD-1EEFH-XTOFE-ATAAO-TATAE-FTRHZ.KEY
AlternateDataStreams: C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_98fe7RGgatvcZCaXxF7ff2529Fk-481123052 [2302]
AlternateDataStreams: C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_gdtS6a0b5ZRt_6PIn1MCYzp2mNI-1645993638 [2302]
AlternateDataStreams: C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_l2V968dCa1zMr5TTWgVJQP6xPVU1582337518 [2302]
AlternateDataStreams: C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_qFyz_p77Mklm6G-g9tbfmp6arrk-91909773 [2302]
AlternateDataStreams: C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_qUrYP-q7tpBAiiIGw2drcOQ1OLk285189430 [2302]
AlternateDataStreams: C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_TS_g8TeGGDswpR4ufNJw3TS0-CM-2018099378 [2302]
AlternateDataStreams: C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_Uk8wMlO6kp7jGPt0n6rTPeL77QE-1116572040 [2302]
HKU\S-1-5-21-1214440339-1383384898-1343024091-22318\...\StartupApproved\StartupFolder: => "SmartWeb.lnk"
HKU\S-1-5-21-1214440339-1383384898-1343024091-22318\...\StartupApproved\StartupFolder: => "crossbrowse.lnk"
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

23 января, 2017

Готово

Fixlog.txt

23 января, 2017

Адварь и следы вымогателя очищены. Расшифровки для этого зловреда, увы, пока нет.

23 января, 2017

Спасибо

Шифровальщик Spore Ransomware

Рекомендуемые сообщения

Lighton

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Lighton

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Lighton

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Lighton

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Lighton

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Lighton

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum