Шифровальщик Trojan-Dropper.Win32.Injector.tanf

[buvbuv]

Добрый день.

Открыл RDP и получил шифровальщика. 

Прошли одни сутки компьютер не перегружал еще, вирус не удалял. 

Имеет смысл делать что-то до удаления вирусов и запуска Autologger согласно Порядок оформления запроса о помощи ?

Или сразу начать выполнять порядок запроса помощи?

 

 

Отчет KVRT:

 

Trojan-Dropper.Win32.Injector.tanf

Файл: C:\Users\Lenovo\AppData\Roaming\csrs.exe
Троянская программа
MD5: 474550BF97BA7149FC26FF20FE35182D
SHA256: 6B18E4CC684D2C6A5E67084D9A2294722688305916A4028ABDFD0216B022C40B
--------------------------------------------------------
HEUR:Trojan.Win32.Generic
Файл: C:\Users\Lenovo\AppData\Roaming\guide.exe
Троянская программа
MD5: 9ED576F6C8563FF4EF421858C2DAEC4D
SHA256: 66AC9878FAB578A6B3846CAFC2EF92FA725615C53F9362C47F52CF54CF5D993A
--------------------------------------------------------
not-a-virus:AdWare.JS.DealPop.b
Файл: C:\Users\Lenovo\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{f9d03c26-0575-497e-821d-f7956d23e0ca}\content\bonanzadeals.xul
Рекламное программное обеспечение
MD5: 7603DE5C1B9C1F8DFFBC38DF93E5E0AF
SHA256: A35B57A69D4B7DAAB5341C246BD0460BD5DBD1286806DFC6F8E78E8CE2E057DF
--------------------------------------------------------
not-a-virus:RiskTool.Win32.BitCoinMiner.ihje
Файл: C:\Users\Lenovo\AppData\Roaming\winhost.exe
Легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя
MD5: 1EABB27AC49D0E63062AB7DC9B1F274A
SHA256: AFF51305DBE9007CA4DC30D4AA6E279D4E3909919795FB5CD80CBB7BE80124C3

 

 

[thyrex]

Ждем логи Autologger

[buvbuv]

Зашифрованный/незашифрованный файлы

Логи.

files.rar

CollectionLog-2017.10.11-22.34.zip

[thyrex]

Bonanza Deals (remove only) удалите через Установку программ

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('bonanzadealslive');
 DeleteService('bonanzadealslivem');
 DeleteFile('C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe','32');
 DeleteFile('C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job','32');
 DeleteFile('C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job','32');
 DeleteFile('C:\Users\Lenovo\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
 DeleteFile('C:\Windows\Tasks\Funmoods.job','32');
 DeleteFile('C:\Users\Lenovo\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore','64');
 DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA','64');
 DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsUpdate','64');
 DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64');
 DeleteFile('C:\Windows\system32\Tasks\Funmoods','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[buvbuv]

последние логи.

CollectionLog-2017.10.11-23.48.zip

[buvbuv]

FRST логи

 

FRSTlogs.rar

Изменено 12 октября, 2017 пользователем buvbuv

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://websearch.searchfix.info/?unqvl=63&idate=2015/03/03
SearchScopes: HKLM-x32 -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.searchfix.info/?unqvl=63&idate=2015/03/03&l=1&q={searchTerms}
SearchScopes: HKLM-x32 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.searchfix.info/?unqvl=63&idate=2015/03/03&l=1&q={searchTerms}
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => No File
BHO: No Name -> {ea9e0856-10af-43ab-80b1-12ce40555586} -> No File
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> WebSearch
FF DefaultSearchEngine,S: Mozilla\Firefox\Profiles\nahd6ha2.default -> WebSearch
FF DefaultSearchUrl: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://websearch.searchfix.info/?unqvl=63&idate=2015/03/03&l=1&q=
FF SearchEngineOrder.1: Mozilla\Firefox\Profiles\nahd6ha2.default -> WebSearch
FF SearchEngineOrder.1,S: Mozilla\Firefox\Profiles\nahd6ha2.default -> WebSearch
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> WebSearch
FF SelectedSearchEngine,S: Mozilla\Firefox\Profiles\nahd6ha2.default -> WebSearch
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://websearch.searchfix.info/?unqvl=63&idate=2015/03/03&l=1&q=
CHR HomePage: Default -> hxxp://searchfunmoods.com/?f=1&a=iron2&cd=2XzuyEtN2Y1L1Qzu0FtD0D0E0FtCtA0C0D0A0CtA0C0AtCtAtN0D0Tzu0CyEtBzztN1L2XzutBtFtBtFtCtFyDtDtAtN1L1Czu1L1C1F1GtB&cr=376333118&ir=
CHR StartupUrls: Default -> "hxxp://searchfunmoods.com/?f=1&a=iron2&cd=2XzuyEtN2Y1L1Qzu0FtD0D0E0FtCtA0C0D0A0CtA0C0AtCtAtN0D0Tzu0CyEtBzztN1L2XzutBtFtBtFtCtFyDtDtAtN1L1Czu1L1C1F1GtB&cr=376333118&ir=","hxxp://www.yandex.ru/?clid=21979"
CHR HKLM-x32\...\Chrome\Extension: [ehfanjejklfmnldbbclpocdbceaeemkn] - C:\Program Files (x86)\Download Master\dm_chrome.crx [2013-03-03]
CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path/update_url>
CustomCLSID: HKU\S-1-5-21-4046420459-1039312814-244448792-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-4046420459-1039312814-244448792-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-4046420459-1039312814-244448792-1000_Classes\CLSID\{144DF3B2-2402-47AE-9583-5A045929A8D4}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Google\Update\1.3.33.5\psuser_64.dll (Google Inc.)
CustomCLSID: HKU\S-1-5-21-4046420459-1039312814-244448792-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-4046420459-1039312814-244448792-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-4046420459-1039312814-244448792-1000_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-4046420459-1039312814-244448792-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-4046420459-1039312814-244448792-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-4046420459-1039312814-244448792-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-4046420459-1039312814-244448792-1000_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Google\Update\1.3.33.3\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-4046420459-1039312814-244448792-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-4046420459-1039312814-244448792-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-4046420459-1039312814-244448792-1000_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Google\Update\1.3.32.7\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-4046420459-1039312814-244448792-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-4046420459-1039312814-244448792-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-4046420459-1039312814-244448792-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-4046420459-1039312814-244448792-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll => No File
Task: {9F0CF81A-19BD-41E0-991A-3BA9076A7DF6} - \BonanzaDealsUpdate -> No File <==== ATTENTION
Task: {E6050FF5-77AB-4587-A6D3-20C18C2468A8} - \System\SecurityService -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
AlternateDataStreams: C:\ProgramData\TEMP:28AE6654 [169]
AlternateDataStreams: C:\Users\Lenovo\Documents:{2C848322-7882-41E2-AFF6-B060B946FEE9}3 [26]
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[buvbuv]

Fixlog

 

Fixlog.txt

[thyrex]

Проверьте ЛС

 

+ Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[buvbuv]

 

SecurityCheck by glax24 & Severnyj v.1.4.0.52 [25.07.17]

WebSite: www.safezone.cc

DateLog: 12.10.2017 17:44:41

Path starting: C:\Users\Lenovo\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: Lenovo

VersionXML: 4.66is-07.10.2017

___________________________________________________________________________

 

Windows 7(6.1.7601) Service Pack 1 (x64) Enterprise Lang: Russian(0419)

Дата установки ОС: 04.05.2011 10:52:21

Статус лицензии: Windows® 7, Enterprise edition Windows находится в режиме уведомления

Режим загрузки: Normal

Браузер по умолчанию: C:\Users\Lenovo\AppData\Local\Google\Chrome\Application\chrome.exe

Системный диск: C: ФС: [NTFS] Емкость: [116.1 Гб] Занято: [115 Гб] Свободно: [1.1 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18762 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Уведомлять о загрузке и установке обновлений

Дата установки обновлений: 2017-08-19 06:48:54

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба работает

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

Учетная запись гостя включена. Пароль не установлен.

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2010 x64 v.14.0.7015.1000

Microsoft Office 2013 x64 v.15.0.4569.1506

---------------------------- [ Antivirus_WMI ] ----------------------------

avast! antivirus (выключен и обновлен)

Avast Antivirus (выключен и обновлен)

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ AntiSpyware_WMI ] ---------------------------

avast! antivirus (выключен и обновлен)

Windows Defender (выключен и устарел)

Avast Antivirus (выключен и обновлен)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Avast Free Antivirus v.17.5.2303

avast! Antivirus v.4.8

Symantec Enterprise Vault HTTP-only Outlook Add-In v.9.0.9377

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 4.00 (64-разрядная) v.4.00.0 Внимание! Скачать обновления

VMware Workstation v.9.0.2

7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

Microsoft Silverlight v.5.1.40728.0 Внимание! Скачать обновления

TeamViewer 11 v.11.0.65452 Внимание! Скачать обновления

VLC media player v.2.2.4 Внимание! Скачать обновления

Wireshark 1.6.5 v.1.6.5 Внимание! Скачать обновления

TeamViewer 11 (TeamViewer) - Служба работает

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.40 v.7.40.103

---------------------------- [ ProxyAndVPNs ] -----------------------------

OpenVPN 2.3_rc1-I003  v.2.3_rc1-I003

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.7.42330 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

eMule Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 31 v.8.0.310 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u144-windows-i586.exe)^

--------------------------- [ AppleProduction ] ---------------------------

QuickTime v.7.74.80.86 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe AIR v.22.0.0.153 Внимание! Скачать обновления

Adobe Flash Player 12 ActiveX v.12.0.0.77 Внимание! Скачать обновления

Adobe Reader X (10.1.9) - Russian v.10.1.9 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.

------------------------------- [ Browser ] -------------------------------

Google Chrome v.61.0.3163.100

Mozilla Firefox 51.0.1 (x86 ru) v.51.0.1 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

Opera 12.11 v.12.11.1661 Внимание! Скачать обновления

Opera Stable 48.0.2685.35 v.48.0.2685.35

Safari v.5.34.57.2 Данная программа больше не поддерживается разработчиком.

--------------------------- [ RunningProcess ] ----------------------------

C:\Users\Lenovo\AppData\Local\Google\Chrome\Application\chrome.exe v.61.0.3163.100

------------------ [ AntivirusFirewallProcessServices ] -------------------

Avast Antivirus (avast! Antivirus) - Служба работает

C:\Program Files\AVAST Software\Avast\AvastSvc.exe v.17.5.3585.0

aswbIDSAgent (aswbIDSAgent) - Служба остановлена

C:\Program Files\AVAST Software\Avast\AvastUI.exe v.17.5.3585.203

Защитник Windows (WinDefend) - Служба остановлена

---------------------------- [ UnwantedApps ] -----------------------------

Update for Mipony Download Manager Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Mipony Download Manager Packages Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

UniDeals Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Video Player v.1.2.14 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

----------------------------- [ End of Log ] ------------------------------

 

 

[thyrex]

Устанавливайте обновления программ, удаляйте нежелательное ПО

[buvbuv]

Ок, большое спасибо за decrypt.

Машину буду перезаливать.