Шифровальщик с расширением gladn

[urasov]

Добрый день.

7 ноября зашифровались файлы на компьютере. Зашифрованные файлы имеют расширение .gladn.

Прикладываю логи сделанные Farbar Recovery Scan Tool и AutoLogger, а так же пару шифрованных/нешифрованных файлов.

 

FRST.zip

CollectionLog-2017.10.21-22.04.zip

encrypt_files.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\admin\AppData\Roaming\guide.exe','');
 DeleteService('qrnfd_1_10_0_9');
 DeleteFile('C:\Windows\system32\drivers\qrnfd_1_10_0_9.sys','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-2597441802-2149955439-2838726847-1001\Software\Microsoft\Windows\CurrentVersion\Run','{53BCAB5C-9908-5594-0BCB-A5928ADED6C7}');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-2597441802-2149955439-2838726847-1001\Software\Microsoft\Windows\CurrentVersion\RunOnce','{53BCAB5C-9908-5594-0BCB-A5928ADED6C7}');
 DeleteFile('C:\Users\admin\AppData\Roaming\guide.exe','32');
 DeleteFile('C:\Users\admin\Как расшифровать файлы.TXT','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[urasov]

Выполнил оба скрипта. Файл quarantine.zip создался, но он пустой, 22 байта, поэтому отправлять его не стал.

Запустил Autologger ещё раз, собрал логи, прикладываю.

CollectionLog-2017.10.22-17.47.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[urasov]

Прикладываю.

FRST.zip

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1426852415&from=cmi&uid=WDCXWD1003FBYX-01Y7B1_WD-WCAW3625964659646&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1426852415&from=cmi&uid=WDCXWD1003FBYX-01Y7B1_WD-WCAW3625964659646&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1426852415&from=cmi&uid=WDCXWD1003FBYX-01Y7B1_WD-WCAW3625964659646
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1426852415&from=cmi&uid=WDCXWD1003FBYX-01Y7B1_WD-WCAW3625964659646
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1426852415&from=cmi&uid=WDCXWD1003FBYX-01Y7B1_WD-WCAW3625964659646&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1426852415&from=cmi&uid=WDCXWD1003FBYX-01Y7B1_WD-WCAW3625964659646&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1426852415&from=cmi&uid=WDCXWD1003FBYX-01Y7B1_WD-WCAW3625964659646
CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKLM-x32\...\Chrome\Extension: [fopefgobkmblbipkdebgnnlclchlakom] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iakddmmledeclcodpbgebfkhegaaddge] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jaeahnnfohikjnejpokeaaiinijhpfop] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKLM-x32\...\Chrome\Extension: [njabjmhinndphfnbjehdalkphpdmepli] - hxxps://clients2.google.com/service/update2/crx
2017-10-07 21:36 - 2017-10-07 21:36 - 000006517 _____ C:\Users\Все пользователи\Как расшифровать файлы.TXT
2017-10-07 21:36 - 2017-10-07 21:36 - 000006517 _____ C:\ProgramData\Как расшифровать файлы.TXT
2017-10-07 21:35 - 2017-10-07 21:35 - 000006517 _____ C:\Users\Администратор\Как расшифровать файлы.TXT
2017-10-07 21:35 - 2017-10-07 21:35 - 000006517 _____ C:\Users\Администратор\Desktop\Как расшифровать файлы.TXT
2017-10-07 21:35 - 2017-10-07 21:35 - 000006517 _____ C:\Users\TEMP\Как расшифровать файлы.TXT
2017-10-07 21:35 - 2017-10-07 21:35 - 000006517 _____ C:\Users\TEMP\Desktop\Как расшифровать файлы.TXT
2017-10-07 21:35 - 2017-10-07 21:35 - 000006517 _____ C:\Users\root\Как расшифровать файлы.TXT
2017-10-07 21:35 - 2017-10-07 21:35 - 000006517 _____ C:\Users\root\Downloads\Как расшифровать файлы.TXT
2017-10-07 21:35 - 2017-10-07 21:35 - 000006517 _____ C:\Users\root\Documents\Как расшифровать файлы.TXT
2017-10-07 21:35 - 2017-10-07 21:35 - 000006517 _____ C:\Users\root\Desktop\Как расшифровать файлы.TXT
2017-10-07 21:35 - 2017-10-07 21:35 - 000006517 _____ C:\Users\Public\Как расшифровать файлы.TXT
2017-10-07 21:35 - 2017-10-07 21:35 - 000006517 _____ C:\Users\Public\Desktop\Как расшифровать файлы.TXT
2017-10-07 21:35 - 2017-10-07 21:35 - 000006517 _____ C:\Users\mvv\Downloads\Как расшифровать файлы.TXT
2017-10-07 21:35 - 2017-10-07 21:35 - 000006517 _____ C:\Users\mvv\Documents\Как расшифровать файлы.TXT
2017-10-07 21:33 - 2017-10-07 21:33 - 000006517 _____ C:\Users\mvv\Desktop\Как расшифровать файлы.TXT
2017-10-07 21:33 - 2017-10-07 21:33 - 000006517 _____ C:\Users\isaeva\Как расшифровать файлы.TXT
2017-10-07 21:33 - 2017-10-07 21:33 - 000006517 _____ C:\Users\isaeva\Desktop\Как расшифровать файлы.TXT
2017-10-07 21:33 - 2017-10-07 21:33 - 000006517 _____ C:\Users\frizen\Downloads\Как расшифровать файлы.TXT
2017-10-07 21:33 - 2017-10-07 21:33 - 000006517 _____ C:\Users\frizen\Documents\Как расшифровать файлы.TXT
2017-10-07 21:31 - 2017-10-07 21:31 - 000006517 _____ C:\Users\frizen\Как расшифровать файлы.TXT
2017-10-07 21:31 - 2017-10-07 21:31 - 000006517 _____ C:\Users\frizen\Desktop\Как расшифровать файлы.TXT
2017-10-07 21:31 - 2017-10-07 21:31 - 000006517 _____ C:\Users\Default\Как расшифровать файлы.TXT
2017-10-07 21:31 - 2017-10-07 21:31 - 000006517 _____ C:\Users\1c\Как расшифровать файлы.TXT
2017-10-07 21:26 - 2017-10-07 21:37 - 000006517 _____ C:\Users\admin\Desktop\Как расшифровать файлы.TXT
AlternateDataStreams: C:\Users\frizen:id [32]
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[urasov]

Прикладываю

Fixlog.txt

[thyrex]

Проверьте ЛС.

 

+ Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[urasov]

SecurityCheck.txt:

SecurityCheck by glax24 & Severnyj v.1.4.0.52 [25.07.17]
WebSite: www.safezone.cc
DateLog: 22.10.2017 23:17:45
Path starting: C:\Users\mvv\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: mvv
VersionXML: 4.71is-20.10.2017
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Professional Lang: Russian(0419)
Дата установки ОС: 14.09.2013 13:12:32
Статус лицензии: Windows® 7, Professional edition Срок истечения многопользовательской активации: 252780 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Internet Explorer\iexplore.exe
Системный диск: C: ФС: [NTFS] Емкость: [292.9 Гб] Занято: [160.6 Гб] Свободно: [132.3 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18816
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2017-10-20 03:28:05
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2010 x86 v.14.0.6029.1000
---------------------------- [ Antivirus_WMI ] ----------------------------
Kaspersky Free (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Free (включен и обновлен)
Windows Defender (включен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Free v.18.0.0.405
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 4.20 (64-разрядная) v.4.20.0 Внимание! Скачать обновления
TeamViewer 12 v.12.0.83369
TeamViewer 12 (TeamViewer) - Служба работает
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.36 v.7.36.101 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 6 Update 17 v.6.0.170 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u152-windows-i586.exe).
Java 8 Update 31 v.8.0.310 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u152-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 27 ActiveX v.27.0.0.170
Adobe Acrobat Reader DC - Russian v.17.012.20098
------------------------------- [ Browser ] -------------------------------
Google Chrome v.61.0.3163.100 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
----------------------------- [ EmailClient ] -----------------------------
Mozilla Thunderbird 38.5.0 (x86 ru) v.38.5.0 Внимание! Скачать обновления
The Bat! v7.0.0 (32-bit) v.7.0.0 Внимание! Скачать обновления
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.61.0.3163.100
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Anti-Virus Service 18.0.0 (AVP18.0.0) - Служба работает
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 18.0.0\avp.exe v.18.0.0.405
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 18.0.0\avpui.exe v.18.0.0.405
Защитник Windows (WinDefend) - Служба работает
----------------------------- [ End of Log ] ------------------------------

 

[thyrex]

Выполните рекомендованное.

 

Ждем от Вас результатов расшифровки.

[urasov]

Все удалось расшифровать. Спасибо огромное.