Файлы зашифрованы Trojan.Encoder.858

[Djamper 0]

Доброе время суток! У меня произошло шифрование моих файлов в результате действия вируса,
но это произошло очень давно(в 2015). С начала я не обратил на это внимания, а потом когда я захотел посмотреть фотографии они были уже в формате xtbl.

CollectionLog-2018.04.02-13.11.zip

[regist 617]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\2B53E6BF-3287-4AA8-A74A-0C1F0BE8B599\08EAC70B-2BFC-4FA6-A335-E026B0B3387B.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Star Conflict\ Star Соnfliсt Launсhеr.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld оf Tаnks.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World Of Warships\Wоrld Оf Warships РublicTest.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Star Conflict.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\War Thunder.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Новости.lnk', '');
 QuarantineFile('C:\Users\TOM\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\TOM\AppData\Roaming\Browsers\exe.rehcnual.bat', '');
 QuarantineFile('C:\Users\TOM\AppData\Roaming\Browsers\exe.rehcnualswow.bat', '');
 QuarantineFile('C:\Users\TOM\AppData\Roaming\Browsers\exe.rehcnualtow.bat', '');
 QuarantineFile('C:\Users\TOM\AppData\Roaming\Browsers\exe.resworb.bat', '');
 QuarantineFile('C:\Users\TOM\AppData\Roaming\ILMHVSL.exe', '');
 QuarantineFile('C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndex.lnk', '');
 QuarantineFile('C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndеx.lnk', '');
 QuarantineFile('C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех (2).lnk', '');
 QuarantineFile('C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndеx.lnk', '');
 QuarantineFile('C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndех.lnk', '');
 QuarantineFile('C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Star Conflict\ Star Сonfliсt Lаunсhеr.lnk', '');
 QuarantineFile('C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld оf Tаnks.lnk', '');
 QuarantineFile('C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndex.lnk', '');
 QuarantineFile('C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndеx.lnk', '');
 QuarantineFile('C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Обнови Софт', '');
 QuarantineFile('C:\Users\TOM\Favorites\Links\Интернет.url', '');
 QuarantineFile('C:\Windows\core.exe', '');
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\microsoft\macromed\flash player\2b53e6bf-3287-4aa8-a74a-0c1f0be8b599', '*', true, '', 0 , 0);
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\2B53E6BF-3287-4AA8-A74A-0C1F0BE8B599\08EAC70B-2BFC-4FA6-A335-E026B0B3387B.exe', '32');
 DeleteFile('C:\Users\TOM\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico');
 DeleteFile('C:\Users\TOM\AppData\Roaming\Browsers\exe.rehcnual.bat', '');
 DeleteFile('C:\Users\TOM\AppData\Roaming\Browsers\exe.rehcnualswow.bat', '');
 DeleteFile('C:\Users\TOM\AppData\Roaming\Browsers\exe.rehcnualtow.bat', '');
 DeleteFile('C:\Users\TOM\AppData\Roaming\Browsers\exe.resworb.bat', '');
 DeleteFile('C:\Users\TOM\AppData\Roaming\Browsers\exe.resworb.bat', '32');
 DeleteFile('C:\Users\TOM\AppData\Roaming\ILMHVSL.exe', '32');
 DeleteFile('C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Обнови Софт');
 DeleteFile('C:\Users\TOM\Favorites\Links\Интернет.url');
 DeleteFile('C:\Windows\core.exe', '32');
 DeleteFile('C:\Windows\Tasks\ILMHVSL.job', '64');
 DeleteFile('ILMHVSL.job', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "KRB Updater Utility" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\2B53E6BF-3287-4AA8-A74A-0C1F0BE8B599" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A2B53E6BF-3287-4AA8-A74A-0C1F0BE8B599" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true);
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteDirectory('c:\programdata\krb updater utility');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '2B53E6BF-3287-4AA8-A74A-0C1F0BE8B599');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndеx.lnk
C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndex.lnk
C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndех.lnk
C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndex.lnk
C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех (2).lnk
C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndеx.lnk
C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndеx.lnk
C:\Users\TOM\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk
C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\225bb61db2f318c1\Google Chrome.lnk
C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gоogle Сhrоme.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Star Conflict\ Stаr Сonfliсt Lаuncher.lnk
C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WаrThunder.lnk
C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld of Tаnks.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld оf Таnks.lnk
C:\Users\TOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Star Conflict\ Star Сonfliсt Lаunсhеr.lnk
C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld оf Tаnks.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld оf Tаnks.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Star Conflict\ Star Соnfliсt Launсhеr.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World Of Warships\Wоrld Оf Warships РublicTest.lnk
C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk
C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Star Conflict.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\War Thunder.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Новости.lnk

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[Djamper 0]

KLAN-7856090928

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
Star Соnfliсt Launсhеr.lnk
Wоrld оf Tаnks.lnk
Wоrld Оf Warships РublicTest.lnk
Star Conflict.lnk
War Thunder.lnk
Новости.lnk
Вoйти в Интeрнeт.lnk
Star Сonfliсt Lаunсhеr.lnk
Wоrld оf Tаnks_0.lnk
Интернет.url
core.exe

В следующих файлах обнаружен вредоносный код:
Yаndex.lnk - HEUR:Trojan.WinLNK.StartPage.genc
Yаndеx.lnk - HEUR:Trojan.WinLNK.StartPage.genc
Yаndех (2).lnk - HEUR:Trojan.WinLNK.StartPage.genc
Yаndеx_0.lnk - HEUR:Trojan.WinLNK.StartPage.genc
Yаndех.lnk - HEUR:Trojan.WinLNK.StartPage.genc
Yаndex_0.lnk - HEUR:Trojan.WinLNK.StartPage.genc
Yаndеx_1.lnk - HEUR:Trojan.WinLNK.StartPage.genc

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"

Жду ответа

[regist 617]

 

 

Жду ответа

А я жду

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

+

 

 

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

[Djamper 0]

ок

вот всё прикрепил

Ну ещё что-то надо?

Жду ответа

ClearLNK-2018.04.02_14.23.59.log

CollectionLog-2018.04.02-14.27.zip

Изменено 2 апреля, 2018 пользователем Djamper

[mike 1 1 093]

Пришлите зашифрованный файл в архиве и файл Readme[1].txt

[Djamper 0]

Увы, файла Readme[1].txt у меня нету

Epe6wvFgmkiUR+JCdTye7KkYqrTzwzvUT98PVBR25KM=.rar

[regist 617]

 

 

Увы, файла Readme[1].txt у меня нету

А он нужен для подбора ключа, так что поищите ещё. Но рассшифровкой заниматься будем только после того как закончим с вирусами.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\F0AEBAC3-11B7-4201-9281-0C84E91DD4F3.exe', '');
 QuarantineFile('C:\Users\TOM\appdata\roaming\eth\a\engine.exe', '');
 QuarantineFileF('C:\Users\TOM\appdata\roaming\eth\a\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\F0AEBAC3-11B7-4201-9281-0C84E91DD4F3.exe', '32');
 DeleteFile('C:\Users\TOM\appdata\roaming\eth\a\engine.exe', '32');
 DeleteFileMask('C:\Users\TOM\appdata\roaming\eth\a\', '*', true);
 DeleteDirectory('C:\Users\TOM\appdata\roaming\eth\a\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'AppDownloads');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[mike 1 1 093]

Увы, файла Readme[1].txt у меня нету

Он тоже нужен. В корне каждого диска обычно 10 штук их создается + 10 штук еще должно быть в каждом профиле (учетной записи) рабочего стола. 

[Djamper 0]

Вот

KLAN-7857126328

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
engine.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.abz

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"

Файла Shortcut.txt в папке не было(нашёл и прикрепил)

Addition.txt

FRST.txt

Shortcut.txt

Изменено 2 апреля, 2018 пользователем Djamper

[regist 617]

 

 

Файла Shortcut.txt в папке не было

если вы галочку не поставили

 

 

Отметьте галочкой также "Shortcut.txt".

то разумеется не будет.

 

Driver Booster и Zona - деинсталируйте.

Unity Web Player - если сами не ставили, то тоже деинсталируйте.

USB Disk Security - по сути бесполезная программа, поэтому советую тоже удалить.

 

Игровой центр - используется? Лучше хотя бы временно его удалить.

 

Остатки AVG и Avast удалите https://safezone.cc:443/threads/kak-pravilno-udalit-antivirusnye-utility-posle-lechenija.19966/

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

[Djamper 0]

Вот

USB Disk Security удалил

Unity Web Player тоже удалил

Shortcut.txt

AdwCleanerS0.txt

[regist 617]

Advanced SystemCare V8 - деинталируйте если установлено.

 

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Изменено 2 апреля, 2018 пользователем regist

[Djamper 0]

Я ухожу. Не знаю когда смогу вам написать, но ждите я вернусь.(меня не будет дней5-10)

[Djamper 0]

Вот

AdwCleanerC0.txt