Нужна помощь в расшифровке файлов после UDS:Trojan-Banker.Win32.Emotet.sb и VHO:Trojan.Win32.Agent.qwhqxf

[Anvar]

Приветствую,

Форумчане нужна помощь в расшифровке после шифровальщика!

 

Словил пару троянов:

UDS:Trojan-Banker.Win32.Emotet.sb

VHO:Trojan.Win32.Agent.qwhqxf

 

В итоге зашифрованы все файлы. Расширение .PPTX

 

Предлагает купить расшифровщик с http://huhighwfn4jihtlz.onion/sdlsgdewwbhr

 

На компе больше 360 гб видео и фото(

 

 

 

 

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Anvar]

Систему почистил от вирусов.

 

Найден еще один 

trojan.Win32.Agent.qwhqyj

 

Логи во вложении 

CollectionLog-2018.11.15-20.02.zip

Изменено 15 ноября, 2018 пользователем Anvar

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YoutubeDownloader_upd','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YoutubeDownloader','x32');
 DeleteSchedulerTask('WinWOW64Services');
 DeleteSchedulerTask('YoutubeDownloader');
 DeleteSchedulerTask('YoutubeDownloader_upd');
ExecuteSysClean;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[Anvar]

Логи во вложении

CollectionLog-2018.11.15-20.49.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Anvar]

Архив во вложении

FRST+Addition.zip

[regist]

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме.

 

+ просьба сделайте экспорт ветки реестра

HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

заархивируйте и прикрепите.

[Anvar]

Архив во вложении

report.zip

[thyrex]

C:\Users\Public\READ_ME.txt

C:\Users\TwoAOneK\Documents\Epokha_Vozrozhdenia.docx.PPTX

 

прикрепите в одном архиве к следующему сообщению.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Startup: C:\Users\TwoAOneK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Twitch.lnk [2018-11-02]
ShortcutTarget: Twitch.lnk -> C:\Users\TwoAOneK\AppData\Roaming\Twitch\Bin\Twitch.exe (No File)
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1465879240-2843679901-3741476637-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
S2 MicroV2Service; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 MicroV2Service; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
2018-11-05 01:31 - 2018-11-05 01:31 - 000000000 ____D C:\Users\TwoAOneK\AppData\Roaming\EpicNet Inc
2018-11-05 01:16 - 2018-11-14 23:43 - 000000000 ____D C:\Users\TwoAOneK\AppData\Roaming\YoutubeDownloader_upd
2018-11-05 01:16 - 2018-11-14 23:43 - 000000000 ____D C:\Users\TwoAOneK\AppData\Roaming\YoutubeDownloader
2018-11-05 01:21 - 2018-11-15 00:37 - 000000000 ___HD C:\Windows\rss
2018-10-22 03:38 - 2018-10-22 03:38 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsigne83502b3ffbc018b
2018-10-22 03:38 - 2018-10-22 03:38 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign60bbd0ad0cab669a
2018-10-21 19:46 - 2018-10-21 19:46 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignbdb1736445256342
2018-10-21 19:33 - 2018-10-21 19:33 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignf34d8515ed91f0e5
2018-10-21 19:33 - 2018-10-21 19:33 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignc0d4ddada9cab721
2018-10-21 19:33 - 2018-10-21 19:33 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign11f5deabd6915b20
2018-10-18 03:33 - 2018-10-18 03:33 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignccad2e5593f47f70
2018-10-18 03:33 - 2018-10-18 03:33 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignca08b5fa4a376a5c
2018-10-18 03:33 - 2018-10-18 03:33 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignb1cf0bbcc16ac4b0
2018-10-15 15:35 - 2018-10-15 15:35 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignfcce171bdc75d04d
2018-10-15 15:35 - 2018-10-15 15:35 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignc6a623353713950c
2018-10-12 20:21 - 2018-10-12 20:21 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignc2725efafe48aa92
2018-10-12 20:18 - 2018-10-12 20:18 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign2e072ab2818e87a5
2018-10-12 20:14 - 2018-10-12 20:14 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign7aeb156903345c54
2018-10-12 20:13 - 2018-10-12 20:13 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignac38948f81a5e42b
2018-10-12 19:03 - 2018-10-12 19:03 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsigncd3c9fd28230f0db
2018-10-12 19:03 - 2018-10-12 19:03 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign920aa5dddfd5e3bc
2018-10-09 18:29 - 2018-10-09 18:29 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsigna91d65de36b0140f
2018-10-09 18:29 - 2018-10-09 18:29 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign8cf0b9b023249e9e
2018-10-09 18:29 - 2018-10-09 18:29 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign80a0fd1a2da3d1f7
2018-10-09 18:28 - 2018-10-09 18:28 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignb8ba5bb78bf05c33
2018-10-07 02:41 - 2018-10-07 02:41 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign666b338dddecdcb9
2018-10-07 01:54 - 2018-10-07 01:54 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign6f905b64be41bcbb
2018-10-07 01:53 - 2018-10-07 01:53 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignb2fa9ce192ea8743
2018-10-02 18:37 - 2018-10-02 18:37 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignf3a4d5ce8c03c17e
2018-10-02 18:36 - 2018-10-02 18:36 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignd68d1f2396f53ef5
2018-10-02 18:36 - 2018-10-02 18:36 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignc7afda1e8405ff48
2018-09-24 13:45 - 2018-09-24 13:45 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign126f089345598ede
2018-09-24 13:40 - 2018-09-24 13:40 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign843449cbe7fd380e
2018-09-24 13:40 - 2018-09-24 13:40 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign6359823c4bd4b600
2018-09-24 13:40 - 2018-09-24 13:40 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign51040a3535718e25
2018-09-23 01:15 - 2018-09-23 01:15 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign5cc643d7c873fbce
2018-09-23 01:03 - 2018-09-23 01:03 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign42a6b6ea9f9ae343
2018-09-23 01:03 - 2018-09-23 01:03 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign38a0a6daf4f7c397
2018-09-16 20:40 - 2018-09-16 20:40 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign1e2fbad852db9376
2018-09-16 20:39 - 2018-09-16 20:39 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign330db84aea9f84e3
2018-09-14 00:17 - 2018-09-14 00:17 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsigne3528e71edd0b7d4
2018-09-14 00:16 - 2018-09-14 00:16 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign28562f5b1199d36f
2018-09-11 20:44 - 2018-09-11 20:44 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignfd49aa216fa46eaf
2018-09-11 20:44 - 2018-09-11 20:44 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign72d80be19fa1162f
2018-09-11 19:01 - 2018-09-11 19:01 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsigne725cfa6d62223bf
2018-09-11 16:49 - 2018-09-11 16:49 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsigneb44c279825c85c8
2018-09-11 16:27 - 2018-09-11 16:27 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign7fe9211b81dd0500
2018-09-11 16:26 - 2018-09-11 16:26 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsigned3ea9673a40545c
2018-09-11 16:26 - 2018-09-11 16:26 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign5934e28dc14f7ce2
2018-09-07 22:45 - 2018-09-07 22:45 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsigne8269baf1878a8fa
2018-09-07 22:44 - 2018-09-07 22:44 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsigna8004351eea47f5a
2018-09-07 22:44 - 2018-09-07 22:44 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign31a1ce3701ec6c86
2018-09-07 22:43 - 2018-09-07 22:43 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign53a0e018a0f1ba03
2018-08-24 15:31 - 2018-08-24 15:31 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign2cdb4869a13c8e2a
2018-08-21 10:35 - 2018-08-21 10:35 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign34092b85d22be397
2018-08-21 02:38 - 2018-08-21 02:38 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsigneb0c0ac3a6c174f4
2018-08-21 02:38 - 2018-08-21 02:38 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignba9b390e012b63ac
2018-08-20 16:33 - 2018-08-20 16:33 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignc4903a602cb48c27
2018-08-20 16:32 - 2018-08-20 16:32 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignb1c10466f1f15ffc
2018-08-19 21:45 - 2018-08-19 21:45 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsign0b77e8e76a88e5c4
2018-08-19 20:27 - 2018-08-19 20:27 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignf0656915576b98ab
2018-08-18 23:57 - 2018-08-18 23:57 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsignf2d5a9203c239728
2018-08-18 23:56 - 2018-08-18 23:56 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\Tempzxpsigna5a2031733ce0233
2018-11-14 22:16 - 2017-06-30 01:08 - 000000000 ____D C:\Users\TwoAOneK\AppData\Local\minergate
Folder: C:\ProgramData\1HEEDL8G3N
Folder: C:\Users\TwoAOneK\AppData\Roaming\Elementsetip
Folder: C:\ProgramData\hafyaffv
Folder: C:\Users\TwoAOneK\AppData\Local\William
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Anvar]

Выполнено.

Не понятно куда было копировать выделенный текст "2. Скопируйте выделенный текст (правая кнопка мыши – Копировать)."

FixLog+VirusFiles.zip

[regist]

 

 

CollectionLog-2018.11.15-20.49.zip 538байт

не надо было одновременно запускать две копии автологера, из-за этого архив не полный.

 

И случайно не помните, вы из автозапуска программу

C:\Исходники\Aptana_Studio_3_Setup_3.6.1.exe

как отключали? В смысле отключили через какую утилиту?

 

PS. по шифровальщику это GlobeImposter 2.0.

[Anvar]

К сожалению, про Aptan'у не помню. 

Судя по предыдущим постам, возможность расшифровки GlobeImposter 2.0 пока не выявлена, правильно ли я понял, что могу удалить все свои файлы?( 

Есть ли шанс, что при оплате расшифровщика пришлют дешифратор (мало ли, может бывали успешные случаи)? 

Как я понял он не оставляет закрытого ключа на пк и к каждому ПК он генерит новый.