Вирус шифровальщик *.decryptallfiles3@india

[andrew0352]

Доброго времени суток. Подцепил вирус шифровальщик , все файлы стали с расширением " *.decryptallfiles3@india" и при запуске системы открывается окно с просьбой сообщить свой ID  на эл.почту "decryptallfiles3@india.com" (присвоился из файла "Read Me Please" который находится в каждой папке. Пробовал разные утилиты для расшифровки но ни что не помогло.

1-я часть файла не шифрованный

2-я часть файла не шифрованный

1-я часть файла шифрованный

2-я часть файла шифрованный

CollectionLog-2017.03.08-14.54.zip

foto-good.part1.rar

foto-good.part2.rar

pa-MZ3HLDO39cWbp.decryptallfiles3@india.part1.rar

pa-MZ3HLDO39cWbp.decryptallfiles3@india.part2.rar

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare 10

bestsalesprofit

ContentProtector

MinesweeperApp2

Smart Defrag 5

Unity Web Player

Video and Audio Plugin UBar

Служба автоматического обновления программ

Что не получится стандартно, удалите через Revo Uninstall

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('ContentProtectorDrv');
 QuarantineFileF('c:\program files\contentprotector', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys', '');
 QuarantineFile('C:\Users\notebook\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 DeleteFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys', '32');
 DeleteFile('C:\Program Files\contentprotector\condefclean.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\conprotsetup.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectorconrol.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectordrv.sys', '32');
 DeleteFile('C:\Program Files\contentprotector\import_root_cert.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\libeay32.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\certutil.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\mozcrt19.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\nspr4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\nss3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\plc4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\plds4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\smime3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\softokn3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\ssleay32.dll', '32');
 DeleteFileMask('c:\program files\contentprotector', '*', true);
 DeleteDirectory('c:\program files\contentprotector');
 DeleteService('ContentProtectorDrv');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Удалите Автологер и созданную им папку вместе с содержимым. Скачайте заново и повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[andrew0352]

 

ClearLNK-06.04.2017_18-36.log

ClearLNK-06.04.2017_18-36.log

[Sandor]

Ждем остальные логи.

[andrew0352]

После Выполните скрипт в AVZ (первого скрипта) - синий екран

После второго скрипта Файл quarantine.zip из папки с распакованной утилитой AVZ - имеет 0 Mb

Я не могу его прикрепит и отправить по адресу newvirus@kaspersky.com

Что я делаю не так?

[thyrex]

Ждем новые логи Autologger

[andrew0352]

 

CollectionLog

CollectionLog-2017.04.12-13.10.zip

AdwCleanerS0.txt

AdwCleanerC0.txt

[Sandor]

Постарайтесь не делать таких длинных перерывов в лечении.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[andrew0352]

 

Addition.txt

 

Shortcut.txt

 

FRST.txt

FRST.txt

Shortcut.txt

Addition.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B0DAC016C-5AE2-4789-898C-00E38B98FA4C%7D&gp=811022
CHR DefaultSearchKeyword: Default -> go.mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR Extension: (BestSalesProfit) - C:\Users\notebook\AppData\Local\Google\Chrome\User Data\Default\Extensions\nfifbepiadlffiooandnambiojdgccdo [2016-12-13]
2017-04-12 13:25 - 2016-12-13 19:08 - 00000000 ____D C:\Users\notebook\AppData\LocalLow\IObit
2017-04-12 13:25 - 2016-12-13 19:08 - 00000000 ____D C:\Program Files\Common Files\IObit
2017-04-12 13:25 - 2016-12-13 19:07 - 00000000 ____D C:\Users\Все пользователи\IObit
2017-04-12 13:25 - 2016-12-13 19:07 - 00000000 ____D C:\Users\notebook\AppData\Roaming\IObit
2017-04-12 13:25 - 2016-12-13 19:07 - 00000000 ____D C:\ProgramData\IObit
2017-04-06 17:55 - 2017-04-06 17:55 - 0245480 _____ () C:\Users\notebook\AppData\Local\Temp\condefclean.exe
Task: {63888887-B61D-4D46-83D0-CC7A920531A1} - System32\Tasks\3.0 => C:\ProgramData\WindowsY\chair.exe 
Task: {66D0BCA3-4654-49D8-9B0B-A6BBCA834578} - System32\Tasks\Driver Booster SkipUAC (notebook) => C:\Program Files\IObit\Driver Booster\4.1.0\DriverBooster.exe 
FirewallRules: [{8CEB84C3-9BF2-496B-93B8-A5082D78CC03}] => (Allow) c:\users\notebook\appdata\roaming\10394394\svchost.exe
FirewallRules: [{3183F60D-C4FE-4AF2-8665-2A8E4C0F051F}] => (Allow) C:\Program Files\UBar\ubar.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[andrew0352]

 

Fixlog.txt

Fixlog.txt

[Sandor]

Скачайте заново Автологгер и соберите свежий CollectionLog.

[andrew0352]

 

CollectionLog-2017.04.13-12.21.zip

CollectionLog-2017.04.13-12.21.zip

[Sandor]

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.