Требуется помощь в расшифровке, возможно win32.scarsi.ahin

11 июля, 2017

Здравствуйте!

Бухгалтер получил "письмо счастья из налоговой" и не разобравшись открыл ящик пандоры. Попрошайка, по аналогии с соседней темой выдает следующее:

ATTENTION!

All your files are encrypted with cryptographically strong algorithm, and without original decryption key recovery is impossible.

To get your unique key and decode files, you need to write us at email written below during 72 hours, otherwise your files will be destroyed forever!

redman333@bigmir.net

redman333@bigmir.net

RESERVE MAIL:

BM-2cXgvt7vSATpsRAm6edEkzU8UDNjbh35Qv@bitmessage.ch

BM-2cXgvt7vSATpsRAm6edEkzU8UDNjbh35Qv@bitmessage.ch

BM-2cXgvt7vSATpsRAm6edEkzU8UDNjbh35Qv@bitmessage.ch

Логи проверки системы прилагаю.

CollectionLog-2017.07.11-11.48.zip

11 июля, 2017

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\StmI3B.dll','');
 QuarantineFile('C:\Program Files\Common Files\Services\odthdprf.fgw','');
 DeleteService('sviqpvtv');
 DeleteService('dkitjamc');
 DeleteService('fvlvvakr');
 DeleteService('ebgngedi');
 DeleteService('jfocsdoz');
 DeleteService('jougqccd');
 DeleteService('lvlgnxqb');
 DeleteFile('C:\WINDOWS\system32\drivers\dkitjamc.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\ebgngedi.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\fvlvvakr.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\jfocsdoz.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\jougqccd.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\lvlgnxqb.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\sviqpvtv.sys','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','A080-9385');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DriverScanner','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters','ServiceDll');
 DeleteFile('C:\Program Files\Common Files\Services\odthdprf.fgw','32');
 DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\README.txt','32');
 DeleteFile('C:\Documents and Settings\asf\Главное меню\Программы\Автозагрузка\README.txt','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\StmI3B.dll','32');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(14);
ExecuteREpair(15);
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

11 июля, 2017

[KLAN-6510123573]

Благодарим за обращение в Антивирусную Лабораторию
Присланные вами файлы и ссылки были проверены в автоматическом режиме
В антивирусных базах информация по присланным вами файлам отсутствует:
odthdprf.fgw
Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.
Антивирусная Лаборатория, Kaspersky Lab HQ

CollectionLog-2017.07.11-14.17.zip

11 июля, 2017

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

11 июля, 2017

Готово

frst.zip

11 июля, 2017

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-07-10 16:29 - 2017-07-10 16:29 - 00000512 _____ C:\Documents and Settings\README.txt
2017-07-10 16:29 - 2017-07-10 16:29 - 00000512 _____ C:\Documents and Settings\NetworkService\Главное меню\Программы\README.txt
2017-07-10 16:29 - 2017-07-10 16:29 - 00000512 _____ C:\Documents and Settings\NetworkService\Главное меню\README.txt
2017-07-10 16:29 - 2017-07-10 16:29 - 00000512 _____ C:\Documents and Settings\NetworkService\README.txt
2017-07-10 16:29 - 2017-07-10 16:29 - 00000512 _____ C:\Documents and Settings\NetworkService\Local Settings\README.txt
2017-07-10 16:28 - 2017-07-10 16:28 - 00000512 _____ C:\Documents and Settings\NetworkService\Local Settings\Application Data\README.txt
2017-07-10 16:28 - 2017-07-10 16:28 - 00000512 _____ C:\Documents and Settings\NetworkService\Application Data\README.txt
2017-07-10 16:28 - 2017-07-10 16:28 - 00000512 _____ C:\Documents and Settings\LocalService\Главное меню\Программы\README.txt
2017-07-10 16:28 - 2017-07-10 16:28 - 00000512 _____ C:\Documents and Settings\LocalService\Главное меню\README.txt
2017-07-10 16:28 - 2017-07-10 16:28 - 00000512 _____ C:\Documents and Settings\LocalService\README.txt
2017-07-10 16:28 - 2017-07-10 16:28 - 00000512 _____ C:\Documents and Settings\LocalService\Local Settings\README.txt
2017-07-10 16:28 - 2017-07-10 16:28 - 00000512 _____ C:\Documents and Settings\LocalService\Local Settings\Application Data\README.txt
2017-07-10 16:28 - 2017-07-10 16:28 - 00000512 _____ C:\Documents and Settings\LocalService\Application Data\README.txt
2017-07-10 16:28 - 2017-07-10 16:28 - 00000512 _____ C:\Documents and Settings\Default User\Рабочий стол\README.txt
2017-07-10 16:28 - 2017-07-10 16:28 - 00000512 _____ C:\Documents and Settings\Default User\Мои документы\README.txt
2017-07-10 16:28 - 2017-07-10 16:28 - 00000512 _____ C:\Documents and Settings\Default User\Главное меню\Программы\README.txt
2017-07-10 16:28 - 2017-07-10 16:28 - 00000512 _____ C:\Documents and Settings\Default User\Главное меню\README.txt
2017-07-10 16:28 - 2017-07-10 16:28 - 00000512 _____ C:\Documents and Settings\Default User\README.txt
2017-07-10 16:28 - 2017-07-10 16:28 - 00000512 _____ C:\Documents and Settings\Default User\Local Settings\README.txt
2017-07-10 16:28 - 2017-07-10 16:28 - 00000512 _____ C:\Documents and Settings\Default User\Local Settings\Application Data\README.txt
2017-07-10 16:28 - 2017-07-10 16:28 - 00000512 _____ C:\Documents and Settings\Default User\Application Data\README.txt
2017-07-10 16:28 - 2017-07-10 16:28 - 00000512 _____ C:\Documents and Settings\asf\README.txt
2017-07-10 16:27 - 2017-07-10 16:27 - 00000512 _____ C:\Documents and Settings\asf\Мои документы\README.txt
2017-07-10 16:21 - 2017-07-10 16:21 - 00000512 _____ C:\Documents and Settings\asf\Главное меню\Программы\README.txt
2017-07-10 16:21 - 2017-07-10 16:21 - 00000512 _____ C:\Documents and Settings\asf\Главное меню\README.txt
2017-07-10 16:21 - 2017-07-10 16:21 - 00000512 _____ C:\Documents and Settings\asf\Local Settings\README.txt
2017-07-10 15:57 - 2017-07-10 15:57 - 00000512 _____ C:\Documents and Settings\asf\Local Settings\Application Data\README.txt
2017-07-10 15:43 - 2017-07-10 15:43 - 00000512 _____ C:\Documents and Settings\asf\Application Data\README.txt
2017-07-10 15:39 - 2017-07-10 15:39 - 00000512 _____ C:\Documents and Settings\All Users\Рабочий стол\README.txt
2017-07-10 15:39 - 2017-07-10 15:39 - 00000512 _____ C:\Documents and Settings\All Users\Главное меню\Программы\README.txt
2017-07-10 15:39 - 2017-07-10 15:39 - 00000512 _____ C:\Documents and Settings\All Users\Главное меню\README.txt
2017-07-10 15:39 - 2017-07-10 15:39 - 00000512 _____ C:\Documents and Settings\All Users\README.txt
2017-07-10 15:38 - 2017-07-10 15:38 - 00000512 _____ C:\Documents and Settings\All Users\Application Data\README.txt
2014-12-15 08:36 - 2014-12-15 08:37 - 0000000 _____ () C:\Documents and Settings\All Users\msiaty.exe
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

11 июля, 2017

Готово

Fixlog.txt

11 июля, 2017

Мусор почистили.

С расшифровкой помочь не сможем.

11 июля, 2017

Благодарю за помощь!

Требуется помощь в расшифровке, возможно win32.scarsi.ahin

Рекомендуемые сообщения

Ангар

thyrex

Ангар

thyrex

Ангар

thyrex

Ангар

thyrex

Ангар

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum