Поймал шифровальщика

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  () C:\DOCUME~1\ALLUSE~1\APPLIC~1\SOFTWA~1\NHEQMI~1.EXE
  GroupPolicy: Restriction ? <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  AutoConfigURL: [HKLM] => hxxp://epost-2.com/tables/posts/setups2.ruh
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  CHR HomePage: Default -> search.ask.com/?gct=hp
  2017-07-29 15:40 - 2017-07-29 15:40 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\SysWOW64
  2017-07-29 15:39 - 2017-07-30 15:24 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\services
  2017-07-29 15:38 - 2017-07-30 15:24 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Csrss
  2017-07-29 15:38 - 2017-07-29 15:38 - 02764854 _____ C:\Documents and Settings\Admin\Application Data\0F0137360F013736.bmp
  2017-07-29 15:38 - 2017-07-29 15:38 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
  2017-07-29 15:38 - 2017-07-29 15:38 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
  2017-07-29 15:38 - 2017-07-29 15:38 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
  2017-07-29 15:38 - 2017-07-29 15:38 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
  2017-07-29 15:38 - 2017-07-29 15:38 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
  2017-07-29 15:38 - 2017-07-29 15:38 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
  2017-07-29 15:38 - 2017-07-29 15:38 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
  2017-07-29 15:38 - 2017-07-29 15:38 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
  2017-07-29 15:38 - 2017-07-29 15:38 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
  2017-07-29 15:38 - 2017-07-29 15:38 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
  2017-07-29 15:38 - 2017-07-29 15:38 - 00004154 _____ C:\Documents and Settings\Admin\Рабочий стол\README9.txt
  2017-07-29 15:38 - 2017-07-29 15:38 - 00004154 _____ C:\Documents and Settings\Admin\Рабочий стол\README8.txt
  2017-07-29 15:38 - 2017-07-29 15:38 - 00004154 _____ C:\Documents and Settings\Admin\Рабочий стол\README7.txt
  2017-07-29 15:38 - 2017-07-29 15:38 - 00004154 _____ C:\Documents and Settings\Admin\Рабочий стол\README6.txt
  2017-07-29 15:38 - 2017-07-29 15:38 - 00004154 _____ C:\Documents and Settings\Admin\Рабочий стол\README5.txt
  2017-07-29 15:38 - 2017-07-29 15:38 - 00004154 _____ C:\Documents and Settings\Admin\Рабочий стол\README4.txt
  2017-07-29 15:38 - 2017-07-29 15:38 - 00004154 _____ C:\Documents and Settings\Admin\Рабочий стол\README3.txt
  2017-07-29 15:38 - 2017-07-29 15:38 - 00004154 _____ C:\Documents and Settings\Admin\Рабочий стол\README2.txt
  2017-07-29 15:38 - 2017-07-29 15:38 - 00004154 _____ C:\Documents and Settings\Admin\Рабочий стол\README10.txt
  2017-07-29 15:38 - 2017-07-29 15:38 - 00004154 _____ C:\Documents and Settings\Admin\Рабочий стол\README1.txt
  2017-07-29 11:30 - 2017-07-30 15:24 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
  2017-07-29 11:30 - 2017-07-29 11:30 - 00004154 _____ C:\README9.txt
  2017-07-29 11:30 - 2017-07-29 11:30 - 00004154 _____ C:\README8.txt
  2017-07-29 11:30 - 2017-07-29 11:30 - 00004154 _____ C:\README7.txt
  2017-07-29 11:30 - 2017-07-29 11:30 - 00004154 _____ C:\README6.txt
  2017-07-29 11:30 - 2017-07-29 11:30 - 00004154 _____ C:\README5.txt
  2017-07-29 11:30 - 2017-07-29 11:30 - 00004154 _____ C:\README4.txt
  2017-07-29 11:30 - 2017-07-29 11:30 - 00004154 _____ C:\README3.txt
  2017-07-29 11:30 - 2017-07-29 11:30 - 00004154 _____ C:\README2.txt
  2017-07-29 11:30 - 2017-07-29 11:30 - 00004154 _____ C:\README10.txt
  2017-07-29 11:30 - 2017-07-29 11:30 - 00004154 _____ C:\README1.txt
  2015-09-04 03:23 - 2015-09-06 09:23 - 46846184 _____ (Mail.Ru) C:\Documents and Settings\Admin\Local Settings\Temp\amigo_setup.exe
  2015-08-29 08:24 - 2015-08-29 08:24 - 0266240 _____ (Ilya Morozov) C:\Documents and Settings\Admin\Local Settings\Temp\appun-1.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[8866962]

Выполнено

Fixlog.txt

[Sandor]

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[8866962]

Уязвимости остаются ибо надо менять XP было давным давно ;-((

 

Сейчас уже вирусов активных у меня нет ?

Изменено 31 июля, 2017 пользователем 8866962

[Sandor]

Для верности сделайте еще раз CollectionLog с помощью Autologger-а.

[8866962]

Посмотрите пожалуйста

CollectionLog-2017.07.31-15.50.zip

[Sandor]

вирусов активных у меня нет ?

Нет.

 

надо менять XP было давным давно

"Железо" ведь позволяет, меняйте.

[8866962]

Огромное спасибо за консультации и техническую поддержку !

Со сторонней помощью расшифровать удалось все таки 100 % всех файлов !

Прикрепляю тот софт который потребовался для дешифровки.

Надеюсь как то поможет для борьбы с этой дрянью.

key.txt

decrypt.rar

[Sandor]

Увы, не поможет.

1. Ключ подходит только для одной уникальной системы.

2. В этой теме скачивать вложения могут только участники группы Консультанты и выше.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Со сторонней помощью расшифровать удалось

Заплатили посредникам?

[8866962]

 

Заплатили посредникам?

 

Пришлось :-((

[Sandor]

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2. Прочтите и выполните Рекомендации после удаления вредоносного ПО

[regist]

 

 

Заплатили посредникам? Пришлось :-((

уж лучше тогда прямо авторам платить, обойдётся намного дешевле. Хотя конечно ещё лучше потратить эти деньги на внешний жёсткий диск и сделать туда бэкапы.

[8866962]

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2. Прочтите и выполните Рекомендации после удаления вредоносного ПО

 

Сделал