Шифровальщик от Spora

27 февраля, 2017

Открыл Ворд документ счёт фактуру прислали как бы зашол туда там файл размытый и написано сделать двойной щелчок я сделал все зашифровалось ворд эксель пдф может и другие расширения все не проверял логи приложил и вирус тоже если нужен

CollectionLog-2017.02.27-22.45.zip

сам вирус.doc

Изменено 27 февраля, 2017 пользователем rinat369

28 февраля, 2017

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

application extension version 1.5

Calculator

DealPly (remove only)

DealPly

Guard@Mail.Ru

Time tasks

Unity Web Player

ZaxarGameBrowser

Амиго

Интернет

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\users\user\appdata\local\coupondo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\timetasks', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\user\AppData\Local\coupondo\cpnd_stbl.exe', '');
 QuarantineFile('C:\Users\user\AppData\Local\coupondo\config.json', '');
 QuarantineFile('C:\Users\user\AppData\Roaming\daemon2.exe', '');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RU202-A1XEA-TXGTZ-TXKAG-TFHAH-TFAAY.html', '');
 DeleteFile('C:\Users\user\AppData\Local\coupondo\cpnd_stbl.exe', '32');
 DeleteFile('C:\Users\user\AppData\Local\coupondo\config.json', '32');
 DeleteFile('C:\Users\user\AppData\Roaming\daemon2.exe', '32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RU202-A1XEA-TXGTZ-TXKAG-TFHAH-TFAAY.html', '32');
 DeleteFileMask('c:\users\user\appdata\local\coupondo', '*', true);
 DeleteFileMask('c:\programdata\timetasks', '*', true);
 DeleteFileMask('c:\program files\zaxar', '*', true);
 DeleteDirectory('c:\users\user\appdata\local\coupondo');
 DeleteDirectory('c:\programdata\timetasks');
 DeleteDirectory('c:\program files\zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\coupondo','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\coupondo','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Daemon','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(9);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

28 февраля, 2017

1

ClearLNK by Alex Dragokas ver. 2.9.0.11

OS: x32 Windows 7 Ultimate, 6.1.7600, Service Pack: 1

Time: 28.02.2017 - 19:46

Language: OS: RU (0x419). Display: RU (0x419). Non-Unicode: RU (0x419)

Elevated: Yes

User: user (group: Administrator)

_____________________________ Начало отчёта ____________________________

.

[DEL ] 1 "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Одноклассники.lnk" (цель не восстановлена)

[DEL ] 2 "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вконтакте.lnk" (цель не восстановлена)

[DEL ] 3 "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Амиго.lnk" (цель не восстановлена)

[DEL ] 4 "C:\Users\user\AppData\Local\Amigo\User Data\Default\Web Applications\_crx_mbipmajmbfjakbcfnjdldckninlnmhoe\Амиго.Музыка.lnk" (цель не восстановлена)

[DEL ] 5 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser\ZaxarGameBrowser.lnk" (цель не восстановлена)

[DEL ] 6 "C:\Users\user\Desktop\ЯРЛЫКИ\музыка\Моя музыка\Образцы музыки.lnk" (цель не восстановлена)

[DEL ] 7 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\application extension\application extension.lnk" (цель не восстановлена)

[DEL ] 8 "C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\coupondo\coupondo.lnk" (цель не восстановлена)

[DEL ] 9 "C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\coupondo\Uninstall.lnk" (цель не восстановлена)

.

______________________________ Статистика ______________________________

Лечение запущено: 1 раз за сегодня.

Всего обработано: 9

Удалено: 9

____________________________ Конец отчёта ______________________________CRC32: AB0300E9

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
config.json
uninstall.exe
ikihdpjgbomalcdgfdbkeodegggogdfk.json
manifest.json
computed_hashes.json
verified_contents.json
RU202-A1XEA-TXGTZ-TXKAG-TFHAH-TFAAY.html

Программа Adware, предназначенная для показа рекламных сообщений, найдена в файлах
cpnd_stbl.exe - not-a-virus:AdWare.Win32.Agent.joqw
content.js - not-a-virus:HEUR:AdWare.Script.Generic
start_content.js - not-a-virus:HEUR:AdWare.Script.Generic

В файлах найдены вредоносные программы
launcher.js - Trojan.JS.Starter.d

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.
Антивирусная Лаборатория, Kaspersky Lab HQ

Re: Отправка: quarantine [KLAN-5897048874]

AdwCleanerS0.txt

1 марта, 2017

1.

Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

2 марта, 2017

вот 1

AdwCleanerS1.txt

2 марта, 2017

Отчет об очистке в имени файла содержит символ [C], а не . Будьте внимательны.

2 марта, 2017

вот результат

Отчет об очистке в имени файла содержит символ [C], а не . Будьте внимательны.

у меня как S записывается

FRST1.txt

Addition1.txt

Shortcut1.txt

2 марта, 2017

у меня как S записывается

Кнопку "Очистить" нажимаете?

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Reimage Repair

и еще раз сделайте очистку в AdwCleaner.

отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt

Шифровальщик от Spora

Рекомендуемые сообщения

rinat369

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

rinat369

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

rinat369

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

rinat369

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum