spora Spora зашифровал файлы

[suian356]

Со слов пользователя вышло сообщение выш компьютер заблокирован вирусом Spora. Сами пытались лечить и переустановили KES10. Раньше было kav6. Файлы документов не открываються. Попросили посмотреть.

Можно ли что то с этим сделать?

CollectionLog-2017.08.10-13.34.zip

[regist]

Расшировать не получится, только вирусы дочистить. Будем чистить или планируете переставлять систему?

[suian356]

Попробую дочистить

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('c:\Temp\AudBx_ownYXvIg.exe', '');
 QuarantineFile('C:\Users\пользователь\appdata\local\shdupdate\shupd.exe', '');
 QuarantineFileF('C:\Users\пользователь\appdata\local\shdupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('c:\Temp\AudBx_ownYXvIg.exe', '32');
 DeleteFile('C:\Users\пользователь\appdata\local\shdupdate\shupd.exe');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(4);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1392187400&from=cor&uid=TOSHIBAXDT01ACA050_13N3MNEGSXX13N3MNEGSX
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1392187400&from=cor&uid=TOSHIBAXDT01ACA050_13N3MNEGSXX13N3MNEGSX&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1392187400&from=cor&uid=TOSHIBAXDT01ACA050_13N3MNEGSXX13N3MNEGSX&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command,(default) = C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1392187400&from=cor&uid=TOSHIBAXDT01ACA050_13N3MNEGSXX13N3MNEGSX
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1392187400&from=cor&uid=TOSHIBAXDT01ACA050_13N3MNEGSXX13N3MNEGSX
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1392187400&from=cor&uid=TOSHIBAXDT01ACA050_13N3MNEGSXX13N3MNEGSX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1392187400&from=cor&uid=TOSHIBAXDT01ACA050_13N3MNEGSXX13N3MNEGSX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1392187400&from=cor&uid=TOSHIBAXDT01ACA050_13N3MNEGSXX13N3MNEGSX
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} - Delta Search - http://isearch.babylon.com/?q={searchTerms}&babsrc=SP_ss_Btisdt3&mntrId=BA3E3085A93DB257&affID=122471&tt=150713_91114&tsp=4945
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\3269DD9D3BCA03AF316165A744E37788 - Delta Search - http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=BA3E3085A93DB257&affID=122471&tt=150713_91114&tsp=4945
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} - Delta Search - http://isearch.babylon.com/?q={searchTerms}&babsrc=SP_ss_Btisdt3&mntrId=BA3E3085A93DB257&affID=122471&tt=150713_91114&tsp=4945
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} - webalta Search - http://webalta.ru/search?q={searchTerms}&from=IE
R4 - HKLM\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86} - sweet-page - http://www.sweet-page.com/web/?type=ds&ts=1392187400&from=cor&uid=TOSHIBAXDT01ACA050_13N3MNEGSXX13N3MNEGSX&q={searchTerms}
R4 - HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} - sweet-page - http://www.sweet-page.com/web/?type=ds&ts=1392187400&from=cor&uid=TOSHIBAXDT01ACA050_13N3MNEGSXX13N3MNEGSX&q={searchTerms}
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - HKLM\..\Run: [UnlockerAssistant] C:\Program Files\Unlocker\UnlockerAssistant.exe  (file missing)
O4 - MSConfig\startupreg: [Delta Toolbar] C:\Users\пользователь\AppData\Local\\delta\\delta\\2.2.0.0\delta.exe  (HKCU) (2017/08/10)
O4 - MSConfig\startupreg: [Praetorian] C:\Users\пользователь\AppData\Local\Yandex\Updater\praetorian.exe  (file missing) (HKCU) (2014/02/12)
O4 - MSConfig\startupreg: [lXa_omtGHwifWbrXmvMphShPmq] c:\Temp\AudBx_ownYXvIg.exe  (file missing) (HKCU) (2017/08/10)
O22 - Task (Ready): StPrsSW - C:\Users\пользователь\AppData\Roaming\StPrsSW\stprss.exe ,-clptsk (file missing)

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

[suian356]

Результат проверки

 

https://mail.yandex.ru/re.jsx?h=a,xBXzP0XAmixjtU7o-rAv-g&l=aHR0cDovL3ZpcnVzaW5mby5pbmZvL3ZpcnVzZGV0ZWN0b3IvcmVwb3J0LnBocD9tZDU9RTk4MzgwRjRDRDA4RDhDNUQxODk1RDA2OENCQ0JGODg

Повторная проверка. Результат.

 

 

Повторный результат

http://virusinfo.info/virusdetector/report.php?md5=4876CDE1593EEC43A416360B27529480

AdwCleaner выдал результат

Ответ из лаборатории. Файл уже удалил.

 

карантин [KLAN-6639592284]
Когда: 10 авг. в 15:09
Кому: suian356@yandex.ru
От кого: newvirus@kaspersky.com

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
shupd.exe - not-a-virus:WebToolbar.Win32.Agent.cba

В антивирусных базах информация по присланным вами файлам отсутствует:
shplus.dll

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.comhttp://www.viruslist.com"

CollectionLog-2017.08.10-15.20.zip

AdwCleanerS0.txt

[regist]

1) Деинсталируйте

sweet-page Browser newtab extension [2014/02/12 09:43:23]-->C:\Users\пользователь\AppData\Roaming\sweet-page\sweet-page.exe -uninstall -bname=sweet-page -ptid=cor -oemid=installer -unonlysc=0
Webalta Toolbar [2013/05/13 18:39:28]-->C:\Users\пользователь\AppData\Local\Webalta Toolbar\uninstall.exe

Это тоже советую деинсталировать

Unity Web Player [2014/10/30 10:30:27]-->C:\Users\пользователь\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
Кнопка "Яндекс" на панели задач [2016/05/18 10:49:27]-->C:\Users\пользователь\AppData\Local\Yandex\YaPin\YandexWorking.exe --uninstall --nopinned

2)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('C:\Users\пользователь\appdata\local\shdupdate\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\Users\пользователь\appdata\local\shdupdate\', '*', true);
 DeleteDirectory('C:\Users\пользователь\appdata\local\shdupdate\');
 QuarantineFileF('C:\Users\пользователь\AppData\Local\delta\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\Users\пользователь\AppData\Local\delta\', '*', true);
 DeleteDirectory('C:\Users\пользователь\AppData\Local\delta\')
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:
 

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

3)

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Изменено 10 августа, 2017 пользователем regist