Шифровальщик Spore Ransomware

[Bohdan0601]

Здравствуйте! На ноутбуке в результате заражением вирусом, были зашифрованы все файлы. В браузере при включении ноутбука выбивало страницу с требованием заплатить деньги за расшифровку. 

Прилагаю логи:

 

CollectionLog-2017.02.11-01.36.zip

[SQ]

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 StopService('IePluginServices');
 StopService('SMUpd');
 StopService('SMUpdd');
 StopService('WindowsMangerProtect');
 StopService('winzipersvc');
 StopService('{a398d4bf-ac93-41b8-983d-d3185c8c4cc1}w');
 DeleteService('IePluginServices');
 DeleteService('SMUpd');
 DeleteService('SMUpdd');
 DeleteService('WindowsMangerProtect');
 DeleteService('winzipersvc');
 DeleteService('{a398d4bf-ac93-41b8-983d-d3185c8c4cc1}w');
 QuarantineFile('C:\PROGRA~1\SupTab\SEARCH~1.DLL','');
 QuarantineFile('C:\Program Files\Common Files\Goobzo\GBUpdate\smp.exe','');
 QuarantineFile('C:\Program Files\Common Files\Goobzo\GBUpdate\smu.exe','');
 QuarantineFile('C:\Program Files\Common Files\Goobzo\GBUpdate\smw.sys','');
 QuarantineFileF('C:\Program Files\Common Files\Goobzo\GBUpdate', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFile('C:\Program Files\ShopperPro\updater.exe','');
 QuarantineFile('C:\Program Files\WinZipper\winzipersvc.exe','');
 QuarantineFile('C:\Program Files\winzipper\traydownloader.exe','');
 QuarantineFile('C:\ProgramData\IePluginServices\PluginService.exe','');
 QuarantineFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','');
 QuarantineFile('C:\ProgramData\SearchModule\smhe.js','');
 QuarantineFile('C:\Users\Admin\appdata\roaming\aspackage\uninstall.exe','');
 QuarantineFileF('C:\Users\Admin\appdata\roaming\aspackage', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFile('C:\Windows\system32\drivers\{a398d4bf-ac93-41b8-983d-d3185c8c4cc1}w.sys','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\BIZNES POLSKI.lnk','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\COSINUS.lnk','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\Documents.lnk','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\foto.lnk','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\RACHUNKOWOSC.lnk','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\TIZIA PARTNERS DAY.lnk','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\КАРТА ПОБЫТУ 2016-2019.lnk','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\ПОКАЗАТЕЛЬНЫЕ ПРИМЕРЫ ДЛЯ ПРОЕКТА.lnk','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\РАЗНЫЕ ИКОНКИ С РАБ СТОЛА.lnk','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\ФОТО ДЛЯ ИНСТАГРАММ.lnk','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\ФОТОГРАФИИ С ТЕЛЕФОНА РАЗОБРАТЬ.lnk','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\ФОТОГРАФИИ С ТЕЛЕФОНА2.lnk','');
 QuarantineFile('C:\Users\Admin\Desktop\Rob stol\Франшиза.lnk','');
 QuarantineFile('%temp%\3db12b750132f0fe.exe','');
 QuarantineFile('smu.exe','');
 DeleteFile('C:\PROGRA~1\SupTab\SEARCH~1.DLL','32');
 DeleteFile('C:\Program Files\Common Files\Goobzo\GBUpdate\smp.exe','32');
 DeleteFile('C:\Program Files\Common Files\Goobzo\GBUpdate\smu.exe','32');
 DeleteFile('C:\Program Files\Common Files\Goobzo\GBUpdate\smw.sys','32');
 DeleteFile('C:\Program Files\ShopperPro\updater.exe','32');
 DeleteFile('C:\Program Files\WinZipper\winzipersvc.exe','32');
 DeleteFile('C:\Program Files\winzipper\traydownloader.exe','32');
 DeleteFile('C:\ProgramData\IePluginServices\PluginService.exe','32');
 DeleteFile('C:\ProgramData\SearchModule\smhe.js','32');
 DeleteFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','32');
 DeleteFile('C:\Users\Admin\appdata\roaming\aspackage\uninstall.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\SMW_UpdateTask_Time_333239333334343435342d414a34413734452a786c5a5a','32');
 DeleteFile('C:\Windows\system32\Tasks\ShopperProJSUpd','32');
 DeleteFile('C:\Windows\system32\Tasks\Smp','32');
 DeleteFile('C:\Windows\system32\drivers\{a398d4bf-ac93-41b8-983d-d3185c8c4cc1}w.sys','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\BIZNES POLSKI.lnk','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\COSINUS.lnk','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\Documents.lnk','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\foto.lnk','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\RACHUNKOWOSC.lnk','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\TIZIA PARTNERS DAY.lnk','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\КАРТА ПОБЫТУ 2016-2019.lnk','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\ПОКАЗАТЕЛЬНЫЕ ПРИМЕРЫ ДЛЯ ПРОЕКТА.lnk','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\РАЗНЫЕ ИКОНКИ С РАБ СТОЛА.lnk','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\ФОТО ДЛЯ ИНСТАГРАММ.lnk','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\ФОТОГРАФИИ С ТЕЛЕФОНА РАЗОБРАТЬ.lnk','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\ФОТОГРАФИИ С ТЕЛЕФОНА2.lnk','32');
 DeleteFile('C:\Users\Admin\Desktop\Rob stol\Франшиза.lnk','32');
 DeleteFileMask('C:\Users\Admin\appdata\roaming\aspackage', '*', true, ' ');
 DeleteDirectory('C:\Users\Admin\appdata\roaming\aspackage');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\IePluginService','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\winzipersvc','EventMessageFile');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

- Подготовьте лог AdwCleaner и приложите его в теме.

[Bohdan0601]

KLAN-5776201859

 

Thank you for sending a file for analysis to the Anti-Virus Lab.

Kaspersky Anti-Virus has scanned files.

No malware detected in files:
smp.exe
traydownloader.exe
smhe.js
uninstall.exe
BIZNES POLSKI.lnk
COSINUS.lnk
Documents.lnk
foto.lnk
RACHUNKOWOSC.lnk
TIZIA PARTNERS DAY.lnk
КАРТА ПОБЫТУ 2016-2019.lnk
ПОКАЗАТЕЛЬНЫЕ ПРИМЕРЫ ДЛЯ ПРОЕКТА.lnk
РАЗНЫЕ ИКОНКИ С РАБ СТОЛА.lnk
ФОТО ДЛЯ ИНСТАГРАММ.lnk
ФОТОГРАФИИ С ТЕЛЕФОНА РАЗОБРАТЬ.lnk
ФОТОГРАФИИ С ТЕЛЕФОНА2.lnk
Безопасные платежи.lnk
CCleaner.lnk
Kaspersky Internet Security.lnk
Kaspersky Secure Connection.lnk
McAfee Security Scan Plus.lnk
Recuva.lnk
ShadowExplorer.lnk
Франшиза.lnk

We will thoroughly analyze files. If the result of the analysis is different from this scan result, you will be notified via email within 5 days.

This is an automatically generated message. Please, do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

 

AdwCleanerS0.txt

AdwCleanerC0.txt

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Bohdan0601]

готово

FRST.txt

Addition.txt

[SQ]

Сами ставили?

S3 Lavasoft Kernexplorer; \??\C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Lavasoft Ad-Aware Service => ""="Service"

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  HKLM\...\Run: [] => [X]
  ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  URLSearchHook: [S-1-5-21-3867086220-1370567827-4033020006-1000] ATTENTION => Default URLSearchHook is missing
  BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=openpart","hxxp://www.delta-homes.com/?type=hp&ts=1419602168&from=wpm12262&uid=ST9320325AS_6VD33N3HXXXX6VD33N3H"
  2017-02-07 16:06 - 2017-02-07 16:06 - 00000920 _____ C:\ProgramDataes.lnk
  2017-02-07 16:06 - 2017-02-07 16:06 - 00000920 _____ C:\Program Files.lnk
  2017-02-07 16:06 - 2017-02-07 16:06 - 00000916 _____ C:\UNISON-QUIK.lnk
  2017-02-07 16:06 - 2017-02-07 16:06 - 00000914 _____ C:\TapinRadio.lnk
  2017-02-07 16:06 - 2017-02-07 16:06 - 00000914 _____ C:\Miranda IM.lnk
  2017-02-07 16:06 - 2017-02-07 16:06 - 00000910 _____ C:\PerfLogs.lnk
  2017-02-07 16:06 - 2017-02-07 16:06 - 00000910 _____ C:\KMPlayer.lnk
  2017-02-07 16:06 - 2017-02-07 16:06 - 00000910 _____ C:\Instalki.lnk
  2017-02-07 16:06 - 2017-02-07 16:06 - 00000908 _____ C:\Windows.lnk
  2017-02-07 16:06 - 2017-02-07 16:06 - 00000906 _____ C:\Фильмы.lnk
  2017-02-07 16:06 - 2017-02-07 16:06 - 00000906 _____ C:\sh4ldr.lnk
  2017-02-07 16:06 - 2017-02-07 16:06 - 00000906 _____ C:\NVIDIA.lnk
  2017-02-07 16:06 - 2017-02-07 16:06 - 00000904 _____ C:\Users.lnk
  2017-02-07 14:52 - 2017-02-07 14:52 - 00017232 _____ C:\Users\Admin\AppData\Roaming\RU0CE-04XFH-HTKGX-TXHTX-TXZRG-HTXEG-HYYYY.html
  2017-02-07 14:52 - 2017-02-07 14:52 - 00017232 _____ C:\RU0CE-04XFH-HTKGX-TXHTX-TXZRG-HTXEG-HYYYY.html
  2017-02-07 14:52 - 2017-02-07 14:52 - 00001088 _____ C:\Users\Admin\AppData\Roaming\RU0CE-04XFH-HTKGX-TXHTX-TXZRG-HTXEG-HYYYY
  2017-02-07 14:49 - 2017-02-07 16:06 - 02322136 _____ C:\Users\Admin\AppData\Roaming\1580856562
  2017-02-07 14:49 - 2017-02-07 16:06 - 2322136 _____ () C:\Users\Admin\AppData\Roaming\1580856562
  2017-02-07 14:52 - 2017-02-07 14:52 - 0001088 _____ () C:\Users\Admin\AppData\Roaming\RU0CE-04XFH-HTKGX-TXHTX-TXZRG-HTXEG-HYYYY
  2017-02-07 14:52 - 2017-02-07 14:52 - 0017232 _____ () C:\Users\Admin\AppData\Roaming\RU0CE-04XFH-HTKGX-TXHTX-TXZRG-HTXEG-HYYYY.html
  CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.21.135\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.25.5\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.27.5\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.30.3\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.31.5\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.28.1\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.28.13\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.29.5\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.24.15\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.26.9\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.29.1\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.25.11\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.28.15\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-3867086220-1370567827-4033020006-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.24.7\psuser.dll => No File
  Task: {2C59ECAF-3A27-4640-9F4B-519B05BDD70F} - \Microsoft\Windows\MUI\LPRemove -> No File <==== ATTENTION
  Task: {4F703EAB-969D-48CB-B828-CB7180399D16} - \SMW_UpdateTask_Time_333239333334343435342d414a34413734452a786c5a5a -> No File <==== ATTENTION
  AlternateDataStreams: C:\Users\Admin\Desktop\Rob stol\Documents\логопед.jpeg:3or4kl4x13tuuug3Byamue2s4b [77]
  AlternateDataStreams: C:\Users\Admin\Desktop\Rob stol\Documents\логопед.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [246]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:56E2E879 [246]
  MSCONFIG\startupfolder: C:^Users^Admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^RU0CE-04XFH-HTKGX-TXHTX-TXZRG-HTXEG-HYYYY.html => C:\Windows\pss\RU0CE-04XFH-HTKGX-TXHTX-TXZRG-HTXEG-HYYYY.html.Startup
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

[Bohdan0601]

Ноутбук подруги, она не помнит, устанавливала ли эту программу.

Fixlog.txt

Изменено 12 февраля, 2017 пользователем Bohdan0601

[SQ]

Пробуйте https://forum.kasperskyclub.ru/index.php?showtopic=48525