Шифровальщики TYSON и NO_MORE_RANSOM

[stranger_965]

Здравствуйте!

 

Прошу помощи с очисткой ПК от вирусов-шифровальщиков и расшифровке зашифрованных вирусом файлов.

Все файлы зашифрованы в типы TYSON и NO_MORE_RANSOM.

 

На дисках созданы фалы README1 - README10 с текстом:

 

Bаши файлы были зашифрoвaны.
Чmобы раcшuфровamь их, Baм неoбxoдимo oтnрaвuть кoд:
293C25137F89236FDA61|0
нa электpонный адpеc yvonne.vancese1982@gmail.com .
Далее вы полyчите все необxодuмыe инстpykциu.
Пonыmku pасшuфровaть caмоcmoятельно не npивeдyт нu k чемy, kромe бeзвозвpaтнoй пomeри uнфоpмaцuи.
Ecли вы всё же хотume попытаmься, mo nредваpuтeльнo сдeлайтe резервныe коnuи файлoв, uначе в cлучaе
иx измененuя pаcшифpoвkа станет невoзможной нu пpи кakuх yсловuяx.
Ecли вы нe nолyчилu отвema по вышeyказaнному aдpeсy в течeние 48 чacoв (u тoльko в этoм cлучае!),
восnользуйтecь формoй oбpamнoй cвязи. Эmо мoжно сделaть двумя cnоcoбaмu:
1) Скачaйтe и ycmaновume Tor Browser пo ссылke: https://www.torproject.org/download/download-easy.html.en
B aдреcнoй стpоkе Tor Browser-а ввeдитe адрec:
http://cryptsen7fo43rr6.onion/
u нaжмume Enter. 3агpyзuтcя сmрaнuца c фoрмoй oбpаmнoй связи.
2) B любом бpaузеpе neрeйдuте nо oднoмy uз адpeсов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/


All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
293C25137F89236FDA61|0
to e-mail address yvonne.vancese1982@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
https://www.torproject.org/download/download-easy.html.en
Install it and type the following address into the address bar:
http://cryptsen7fo43rr6.onion/
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

 

 

CollectionLog-2017.01.25-15.19.zip

Изменено 25 января, 2017 пользователем stranger_965

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[stranger_965]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Спасибо, топик отредактировал в соответствии с требованиями по оформлению.

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО (что сможете):

amuleC

Body Text Feathering

hd task

ScreenUp

Sound+

YAC(Yet Another Cleaner!)

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('KuaiZipDrive2');
 StopService('ComputerZLock');
 StopService('p1482844749am');
 StopService('p1485335899am');
 StopService('p1485335943am');
 StopService('p1485336085am');
 QuarantineFile('C:\Users\User\AppData\Roaming\Adobe\Manager.exe','');
 QuarantineFile('c:\program files\ludashi\ComputerZTray.exe','');
 QuarantineFile('C:\Program Files\LuDaShi\ComputerZ.sys','');
 QuarantineFile('C:\Windows\system32\drivers\KuaiZipDrive2.sys','');
 QuarantineFile('C:\Program Files\LuDaShi\ComputerZLock.sys','');
 QuarantineFile('C:\Program Files\Firefox\bin\FirefoxUpdate.exe','');
 QuarantineFileF('c:\program files\dpower', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\user\appdata\local\filterstart', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\screenup', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\User\AppData\Local\Temp\bkEB49.tmp\p1482844749am.sys', '');
 QuarantineFile('C:\Users\User\AppData\Local\Temp\bkD807.tmp\p1485335899am.sys', '');
 QuarantineFile('C:\Users\User\AppData\Local\Temp\bk84AA.tmp\p1485335943am.sys', '');
 QuarantineFile('C:\Users\User\AppData\Local\Temp\bkAE87.tmp\p1485336085am.sys', '');
 QuarantineFile('C:\Program Files\DPower\wemoshow.exe', '');
 QuarantineFile('C:\ProgramData\service.exe', '');
 QuarantineFile('C:\Users\User\AppData\Local\FilterStart\FilterStart.exe', '');
 QuarantineFile('C:\Program Files\ScreenUp\uninst.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Root Language Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{26F9967B-449B-4C71-886D-11F6513041DF}" /F', 0, 15000, true);
 DeleteFile('C:\Program Files\Firefox\bin\FirefoxUpdate.exe','32');
 DeleteFile('C:\Program Files\LuDaShi\ComputerZLock.sys','32');
 DeleteFile('C:\Windows\system32\drivers\KuaiZipDrive2.sys','32');
 DeleteFile('C:\Program Files\LuDaShi\ComputerZ.sys','32');
 DeleteFile('c:\program files\ludashi\ComputerZTray.exe','32');
 DeleteFile('C:\Users\User\AppData\Roaming\Adobe\Manager.exe','32');
 DeleteFile('C:\Users\User\AppData\Local\Temp\bkEB49.tmp\p1482844749am.sys', '32');
 DeleteFile('C:\Users\User\AppData\Local\Temp\bkD807.tmp\p1485335899am.sys', '32');
 DeleteFile('C:\Users\User\AppData\Local\Temp\bk84AA.tmp\p1485335943am.sys', '32');
 DeleteFile('C:\Users\User\AppData\Local\Temp\bkAE87.tmp\p1485336085am.sys', '32');
 DeleteFile('C:\Program Files\DPower\wemoshow.exe', '32');
 DeleteFile('C:\ProgramData\service.exe', '32');
 DeleteFile('C:\Users\User\AppData\Local\FilterStart\FilterStart.exe', '32');
 DeleteFile('C:\Program Files\ScreenUp\uninst.exe', '32');
 DeleteService('ComputerZ');
 DeleteService('KuaiZipDrive2');
 DeleteService('ComputerZLock');
 DeleteService('FirefoxU');
 DeleteService('p1482844749am');
 DeleteService('p1485335899am');
 DeleteService('p1485335943am');
 DeleteService('p1485336085am');
 DeleteFileMask('c:\program files\dpower', '*', true);
 DeleteFileMask('c:\users\user\appdata\local\filterstart', '*', true);
 DeleteFileMask('c:\program files\screenup', '*', true);
 DeleteDirectory('c:\program files\dpower');
 DeleteDirectory('c:\users\user\appdata\local\filterstart');
 DeleteDirectory('c:\program files\screenup');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ComputerZ-Tray');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\OMEWPRODUCT_ZEC3O','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpService','EventMessageFile');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(4);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[stranger_965]

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

KLAN-5719253920

 

Антивирус Касперского проверил файлы.

 

Вредоносные программы не найдены в файлах:

ComputerZTray.exe

ComputerZ.sys

KuaiZipDrive2.sys

ComputerZLock.sys

FirefoxUpdate.exe

nfapi.dll

uninst.exe

nss3.dll

softokn3.dll

 

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению

 

прикрепил

ClearLNK-29.01.2017_14-18.log

AdwCleanerS0.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[stranger_965]

Во вложении все файлы.

AdwCleanerC0.txt

AdwCleanerS1.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

ScreenUp

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
() C:\Users\User\AppData\Local\MailruSetup\MailruSetup.exe
FF Extension: (SimilarWeb) - C:\Users\User\AppData\Roaming\Firefox\Firefox\Profiles\cdkscapk.default\Extensions\@DA3566E2-F709-11E5-8E87-A604BC8E7F8B.xpi [2017-01-25] [not signed]
FF Extension: (FF Adr) - C:\Users\User\AppData\Roaming\Firefox\Firefox\Profiles\cdkscapk.default\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2017-01-25] [not signed]
CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.mylucky123.com/search/?type=ds&ts=1478079121&z=2be6ae5e59102a9c75199aagez3m1bee4m0t2gaoeo&from=che0812&uid=ST3320613AS_9SZ046WLXXXX9SZ046WL&q={searchTerms}
CHR DefaultSearchKeyword: ChromeDefaultData -> mylucky123
CHR Extension: (No Name) - C:\Users\User\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\fdckocnfhibclnnkifmjbbogcfkbijki [2016-10-12]
CHR Extension: (Яндекс) - C:\Users\User\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\jdfonankhfnhihdcpaagpabbaoclnjfp [2016-10-12]
CHR Extension: (No Name) - C:\Users\User\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj [2016-10-12]
OPR Extension: (Fast search) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-09-19]
2017-02-01 22:02 - 2017-02-01 22:02 - 00000000 ____D C:\Users\User\AppData\Roaming\Ludashi
2017-01-25 12:19 - 2017-01-25 14:39 - 00000000 __SHD C:\Users\Все пользователи\services
2017-01-25 12:19 - 2017-01-25 14:39 - 00000000 __SHD C:\ProgramData\services
2017-01-16 15:26 - 2017-01-25 14:39 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2017-01-16 15:26 - 2017-01-25 14:39 - 00000000 __SHD C:\ProgramData\Csrss
2017-01-16 15:26 - 2017-01-16 15:26 - 06220854 _____ C:\Users\User\AppData\Roaming\D02C8289D02C8289.bmp
2017-01-16 15:26 - 2017-01-16 15:26 - 00004170 _____ C:\Users\User\Desktop\README9.txt
2017-01-16 15:26 - 2017-01-16 15:26 - 00004170 _____ C:\Users\User\Desktop\README8.txt
2017-01-16 15:26 - 2017-01-16 15:26 - 00004170 _____ C:\Users\User\Desktop\README7.txt
2017-01-16 15:26 - 2017-01-16 15:26 - 00004170 _____ C:\Users\User\Desktop\README6.txt
2017-01-16 15:26 - 2017-01-16 15:26 - 00004170 _____ C:\Users\User\Desktop\README5.txt
2017-01-16 15:26 - 2017-01-16 15:26 - 00004170 _____ C:\Users\User\Desktop\README4.txt
2017-01-16 15:26 - 2017-01-16 15:26 - 00004170 _____ C:\Users\User\Desktop\README3.txt
2017-01-16 15:26 - 2017-01-16 15:26 - 00004170 _____ C:\Users\User\Desktop\README2.txt
2017-01-16 15:26 - 2017-01-16 15:26 - 00004170 _____ C:\Users\User\Desktop\README10.txt
2017-01-16 15:26 - 2017-01-16 15:26 - 00004170 _____ C:\Users\User\Desktop\README1.txt
2017-01-16 15:06 - 2017-01-25 14:39 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-01-16 15:06 - 2017-01-25 14:39 - 00000000 __SHD C:\ProgramData\Windows
2017-02-01 22:06 - 2016-10-25 21:11 - 00000410 _____ C:\Windows\Tasks\MzIzNTM0Mzc=.job
2017-02-01 22:06 - 2016-10-25 21:11 - 00000400 _____ C:\Windows\Tasks\UrlControl.job
2017-01-29 14:00 - 2016-10-12 15:33 - 00000000 ____D C:\Program Files\LuDaShi
2017-01-25 15:05 - 2016-10-26 22:45 - 00000000 ____D C:\Users\Все пользователи\AppgnielbuoD
2017-01-25 15:05 - 2016-10-26 22:45 - 00000000 ____D C:\ProgramData\AppgnielbuoD
2017-01-25 15:05 - 2016-10-12 15:58 - 00000000 ____D C:\Program Files\Aiduwb
2017-01-25 15:05 - 2016-10-12 15:27 - 00000000 ____D C:\Program Files\Hzocult
2017-01-25 15:05 - 2016-10-12 15:27 - 00000000 ____D C:\Program Files\Fqaing
2017-01-25 15:05 - 2016-10-12 15:25 - 00000000 ____D C:\Program Files\Plenergh
2017-01-25 15:05 - 2016-10-12 15:24 - 00000000 ____D C:\Users\Все пользователи\Doubleing
2017-01-25 15:05 - 2016-10-12 15:24 - 00000000 ____D C:\ProgramData\Doubleing
2017-01-16 15:22 - 2016-10-25 21:11 - 00000000 ____D C:\Users\User\AppData\Local\MzIzNTM0Mzc=
2017-01-16 15:22 - 2016-10-12 15:19 - 00000000 ____D C:\Users\User\AppData\Local\MzIzNTM1MzA=
2017-01-16 15:20 - 2016-09-19 22:37 - 00000000 ____D C:\Users\User\AppData\LocalLow\IObit
2017-01-16 15:19 - 2016-09-19 22:36 - 00000000 ____D C:\Users\User\AppData\Roaming\IObit
2017-01-16 15:14 - 2016-10-12 15:19 - 00000000 ____D C:\Users\User\AppData\Roaming\UrlControl_
2017-01-16 15:12 - 2016-09-19 22:37 - 00000000 ____D C:\Users\Все пользователи\ProductData
2017-01-16 15:12 - 2016-09-19 22:37 - 00000000 ____D C:\ProgramData\ProductData
2017-01-16 15:26 - 2017-01-16 15:26 - 0887296 _____ (Microsoft Corporation) C:\Users\User\AppData\Local\Temp\5273C36A.exe
2017-01-16 15:26 - 2017-01-16 15:26 - 1032704 _____ (Microsoft Corporation) C:\Users\User\AppData\Local\Temp\6D666B97.exe
2017-01-25 12:27 - 2017-01-25 12:27 - 1012224 ___SH () C:\Users\User\AppData\Local\Temp\A86B5C6747183B1C9BBB4181C53F302D.dll
2017-01-25 12:19 - 2017-01-25 12:19 - 1497600 _____ () C:\Users\User\AppData\Local\Temp\D67CBF40.exe
2017-01-25 12:28 - 2017-01-25 12:28 - 26964176 _____ () C:\Users\User\AppData\Local\Temp\inst12.exe
2016-07-14 05:25 - 2016-07-14 05:25 - 0758848 _____ (TODO: <公司名>) C:\Users\User\AppData\Local\Temp\InstallOnline_inside.exe
2016-10-25 18:03 - 2016-10-25 18:03 - 0210840 _____ () C:\Users\User\AppData\Local\Temp\mininewsrepair.exe
Task: {000875DE-1A60-46AC-89DB-F55E0CBBC2B3} - \MzIzNTM0Mzc= -> No File <==== ATTENTION
Task: {C6627399-6F54-4417-ABAF-135AA71CB261} - \UrlControl -> No File <==== ATTENTION
Task: C:\Windows\Tasks\MzIzNTM0Mzc=.job => C:\Users\User\AppData\Local\MzIzNTM0Mzc=\s_inst.exe
Task: C:\Windows\Tasks\UrlControl.job => C:\Users\User\AppData\Roaming\UrlControl_\url_opener.exe
FirewallRules: [{3FC583D7-A55E-4B46-A2D8-AD72AB0B9E47}] => C:\Program Files\LuDaShi\ComputerZTray.exe
FirewallRules: [{01160817-5356-4A70-A6B7-29AD0B83B9A0}] => C:\Program Files\LuDaShi\ComputerZTray.exe
FirewallRules: [{7A9BE3AA-A1A6-44B3-BA9D-69E8F50C393D}] => C:\Program Files\LuDaShi\Utils\mininews.exe
FirewallRules: [{575812C5-3185-45C2-A2C0-D1E1B64A6E1B}] => C:\Program Files\LuDaShi\Utils\mininews.exe
FirewallRules: [{0AAE2421-D91F-4B78-A774-74456AAE6CF5}] => C:\Program Files\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{64B405C3-C65B-4103-B3B5-3D6DAAF24AA8}] => C:\Program Files\Firefox\Firefox.exe
FirewallRules: [TCP Query User{A0756A1B-07B5-4232-925E-8C81DB7C6F19}C:\program files\ludashi\moduleupdate.exe] => C:\program files\ludashi\moduleupdate.exe
FirewallRules: [UDP Query User{677E1E4F-F7F5-4B6C-91D9-082A208505F7}C:\program files\ludashi\moduleupdate.exe] => C:\program files\ludashi\moduleupdate.exe
FirewallRules: [{E20C00F7-EEEB-4836-BE4F-0BE3411FE455}] => c:\program files\ludashi\MobileMgr\LdsMobileMgr.exe
FirewallRules: [{3A07C226-A283-4F51-98A3-3F1238E5080C}] => c:\program files\ludashi\MobileMgr\LdsMobileLink.exe
FirewallRules: [{4B19F15E-8E21-4281-8A1F-2583B1C48CC9}] => C:\Program Files\LuDaShi\update\Link.exe
FirewallRules: [{00667CBF-95C1-4D24-BE51-42187D83E6AF}] => C:\Program Files\LuDaShi\update\Link.exe
FirewallRules: [{7AD67BE3-3124-4876-AB2F-6D62C3088AD2}] => C:\Program Files\Bigold\Application\chrome.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[stranger_965]

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Лог во вложении

Fixlog.txt

[Roman_Five]

по KLAN-5719253920 есть свежая информация?

[stranger_965]

 

 

по KLAN-5719253920 есть свежая информация?

Нет. Писем на почту не приходило.

[Sandor]

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.