Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Вирус шифровальщики - Нацепил! (http://forum.oszone.net/showthread.php?t=327468)

Paje 09-06-2017 13:32 2743172
Вирус шифровальщики - Нацепил!
 
Вирус шифорвальщики, до этой минуты, пока в гугле не начал искать свой вирус, не подозревал о их наличии. Видимо и до рядового пользователя добрались. Сксачал видео, +18, расширение не помню каким было, может avi, возможно исполняемым, exe. Когда кликнул по файлу, он исчез. Дельного значения не придал, подозрение однако закралось. Днями позже, понял. что все фото, обратились в некий не понятный файл. Ну это для меня не так критично. Как оказалось, самым трагичным для меня, что mp3 превратился в тоже самое. В папке с музыкой вот что лежит. Ранее писал, очень помогли. Буду надеяться, что с этим мне поможете пожалуйста, разобраться.

Sandor 09-06-2017 13:36 2743176
Здравствуйте!

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

Paje 09-06-2017 13:50 2743184
Спасибо! Вот что получилось!

Sandor 09-06-2017 13:59 2743187
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\АсКомп\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SynRemoveUserSettings.bat', '');
 DeleteFile('C:\Users\АсКомп\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SynRemoveUserSettings.bat', '32');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Paje 09-06-2017 14:09 2743188
Карантин. Скан проводится...

Sandor 09-06-2017 14:13 2743189
Отправьте его одним из предложенных способов и, если сможете, удалите из своего сообщения.

Paje 09-06-2017 14:29 2743191
ADWCleaner[C0] После удаления, другие два, до удаления. Понял!

Sandor 09-06-2017 14:33 2743194
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Paje 09-06-2017 15:11 2743203
Farbar scan

Sandor 09-06-2017 15:21 2743211
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    CloseProcesses:
    ShellExecuteHooks: No Name - {8016939C-D3F3-11E6-A8C2-64006A5CFC35} -  -> No File
    ShellExecuteHooks: No Name - {8F3A9CCC-D3F4-11E6-AF41-64006A5CFC35} -  -> No File
    ShellExecuteHooks: No Name - {248F8E34-D3F6-11E6-B993-64006A5CFC35} -  -> No File
    ShellExecuteHooks: No Name - {C0015576-D3F8-11E6-AD46-64006A5CFC35} -  -> No File
    ShellExecuteHooks: No Name - {894E887A-D3F9-11E6-89DF-64006A5CFC35} -  -> No File
    ShellExecuteHooks: No Name - {C5E9BD50-D3FB-11E6-9B39-64006A5CFC35} -  -> No File
    ShellExecuteHooks: No Name - {60C07DC0-D3FC-11E6-80D3-64006A5CFC35} -  -> No File
    ShellExecuteHooks: No Name - {02EE1868-DB95-11E6-80F3-64006A5CFC23} -  -> No File
    ShellExecuteHooks: No Name - {881BAA28-DB96-11E6-9F63-64006A5CFC23} -  -> No File
    ShellExecuteHooks: No Name - {D4BA1A94-DB97-11E6-B661-64006A5CFC23} -  -> No File
    ShellExecuteHooks: No Name - {0AAE96C8-DE2A-11E6-9E44-64006A5CFC35} -  -> No File
    ShellExecuteHooks: No Name - {62AC4806-DC66-11E6-9D92-64006A5CFC23} -  -> No File
    ShellExecuteHooks: No Name - {62B8A4F4-DE3C-11E6-A1B0-64006A5CFC23} -  -> No File
    ShellExecuteHooks: No Name - {D1CD7500-DE3D-11E6-8016-64006A5CFC23} -  -> No File
    ShellExecuteHooks: No Name - {F0643B92-DE3E-11E6-ADF0-64006A5CFC23} -  -> No File
    ShellExecuteHooks: No Name - {7FBEA058-DE40-11E6-83E9-64006A5CFC23} -  -> No File
    ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} =>  -> No File
    BHO: HP Network Check Helper -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> No File
    BHO-x32: HP Network Check Helper -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> No File
    S4 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [629648 2017-02-21] () <==== ATTENTION
    S4 UCBrowserGubed; rundll32.exe "C:\Program Files (x86)\UCBrowser\UCBrowserGubed.dll",soeasy [X]
    2017-06-09 19:28 - 2017-06-09 19:28 - 00002560 _____ C:\Windows\System32\Tasks\UCBrowserUpdaterCore
    2017-06-09 19:28 - 2017-06-09 19:28 - 00000294 _____ C:\Windows\Tasks\UCBrowserUpdaterCore.job
    Task: {32AD929B-5967-4B80-8092-F97479E70B72} - System32\Tasks\Microsoft\Windows\Multimedia\MailruSetup => C:\Users\АсКомп\AppData\Local\MailruSetup\MailruSetup.exe <==== ATTENTION
    Task: {5AD7FA09-E315-4959-8487-A6A1EFE9ACCE} - System32\Tasks\Microsoft\Windows\A5C3550AF-EDD0-4351-BF89-2EC7D99689D7 => C:\Users\АсКомп\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\4231B766-8E72-47F2-B94C-A149B700C764.exe <==== ATTENTION
    Task: {70B37E0C-2927-410B-9564-A8BA72351926} - System32\Tasks\Google Update => C:\Users\АсКомп\AppData\Local\Google\Desktop\Install\{5078db94-26db-ee12-6096-8dbfccc136e4}\❤≸⋙\Ⱒ☠⍨\*ﯹ๛\{5078db94-26db-ee12-6096-8dbfccc136e4}\GoogleUpdate.exe <==== ATTENTION
    Task: {AFC2FC9B-C9CC-4E29-BCDD-4A36D612FAFC} - System32\Tasks\Microsoft\Windows\Google\GoogleUpdateTaskMachine => C:\Users\АсКомп\AppData\Roaming\Microsoft\Video\rizotto.exe <==== ATTENTION
    Task: {CDDD48A0-B66E-4140-AD31-A3A578189EF3} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-02-21] (UCWeb Inc) <==== ATTENTION
    Task: {F668DDCA-BC42-4CAA-BA2C-2E4EA1CC34E5} - System32\Tasks\ucbrowserupdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-02-21] (UCWeb Inc) <==== ATTENTION
    Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Файл
Цитата:
C:\Users\АсКомп\Desktop\0_HELP_DECRYPT_FILES.html
вместе с парой поврежденных документов упакуйте и тоже прикрепите к следующему сообщению.

Paje 09-06-2017 15:44 2743218
Получилось, эти файлы только в архиве получается загрузить. stn не получается отправить. превышает объем. Ищу решение... Вешает 6 мб, отправить не получается, формой обратной связи, указав карантин? Отправил формой обратной связи файл buonboy.stn.zip под другим именем quarantine.zip

iskander-k 09-06-2017 15:46 2743220
Или. Заархивируйте или залейте на бесплатный файлообменник и дайте ссылку

Paje 09-06-2017 15:51 2743222
Так и сделал http://my-files.ru/q6tfjb НЕ АРХИВ

Sandor 10-06-2017 20:09 2743543
Увы, пока от этого типа вымогателя таблеток нет.

Paje 11-06-2017 03:00 2743620
Ясно. Спасибо что хотели помочь.

Paje 28-06-2017 19:03 2747900
https://www.youtube.com/watch?v=IxO3wqJU5Wc

Криптолокер, вирус. То, что пришлось познать.
PHP код:
Petya 
При заражении компьютера вредоносная программа шифрует определённые типы файлов, хранящихся на локальных и подключённых сетевых дисках, используя криптосистему ... https://ru.wikipedia.org/wiki/CryptoLocker

Paje 11-07-2017 15:47 2750652
Вот что подсказал DR.Web (У них появилась новая услуга - https://support.drweb.ru/new/free_un...decode/?lng=ru) Файлы зашифрованы Trojan.Encoder.10648 Единственный способ восстановления данных - из резервных копий, если они имеются...


Дополнительную информацию о троянцах семейства Encoder см. на https://antifraud.drweb.ru/encryption_trojs

Изучить курс DWCERT-070-6 «Защита рабочих станций и файловых серверов Windows от действий программ-шифровальщиков»: https://training.drweb.ru/users

P.S. Не в качестве рекламы. Исключительно в целях ознакомления.

Sandor 11-07-2017 16:03 2750654
Цитата:
Цитата Paje
У них появилась новая услуга »
Не новая. Но помогают только тем, у кого есть или кто купит лицензию.

Paje 11-07-2017 17:31 2750683
На этот счет было подозрение, что не бесплатно. Очень удивила информация "Троянцы семейства Trojan.Encoder используют несколько десятков различных алгоритмов шифрования пользовательских файлов.

Например, чтобы подобрать ключи для расшифровки файлов, зашифрованных троянцем Trojan.Encoder.741, методом простого перебора, потребуется

107902838054224993544152335601 год"

Я сам сильно не парюсь. Не за долго до этого, выбрал облачное хранилище. M. Вот теперь правда не знаю как поступить. Стоит синхронизация папки музыка. Сейчас не авторизирован. Вот думаю, если я теперь зайду со своей машины, где папка музыка синхронизацией стоит, и авторизируюсь, у меня все файлы обратятся в этом облачном хранилище, и станут тоже зашифрованными. Знаю вопрос не вам, собираюсь его адресовать самой M. Так для рассуждения.

Sandor 12-07-2017 09:13 2750814
Цитата:
Цитата Paje
авторизируюсь, у меня все файлы обратятся в этом облачном хранилище, и станут тоже зашифрованными »
В системе активного вредоноса нет. А синхронизировать с облаком или нет - Вам решать.

Проделайте завершающие шаги:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Paje 12-07-2017 16:47 2750928
Цитата:
Цитата Sandor
В системе активного вредоноса нет. А синхронизировать с облаком или нет - Вам решать. »
Не совсем понял. Папка отмечена файлообменником, то есть если я туда добавлю файл, и при этом буду авторизирован программой, то файл синхронизируется, и появиться в этом облачном хранилище. Если можно, то напишу о чем идет речь. Mega. А те фалы которые уже там лежат, они же отличаются от тех. что у меня на компьютере в папке лежат, значит он их снова синхронизирует, взамен прежних. Если попробовать удалить саму папку, и авторизироваться, и скачать. Думаю так.

Прочитал. Файл прикрепил.

Sandor 12-07-2017 16:52 2750931
Цитата:
Цитата Paje
о чем идет речь. Mega »
Я им не пользовался, деталей не знаю.
Предположу, что принцип должен быть обычный - синхронизация, если включена, происходит в автоматическом режиме. Но ведь не запрещено ее отключить и сбрасывать файлы вручную по мере необходимости.

Соберите и прикрепите еще раз свежие логи FRST.txt и Addition.txt

Paje 12-07-2017 17:14 2750936
Цитата:
Цитата Sandor
Предположу, что принцип должен быть обычный - синхронизация, если включена, происходит в автоматическом режиме. Но ведь не запрещено ее отключить и сбрасывать файлы вручную по мере необходимости. »
Тут вы правы. Синхронизацию можно отключить. После авторизации.

Прикреплено.

Sandor 13-07-2017 08:25 2751053
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    () C:\Program Files (x86)\UCBrowser\Application\UCService.exe
    (UCWeb Inc.) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    (UCWeb Inc.) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    (UCWeb Inc.) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    (UCWeb Inc.) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    (UCWeb Inc.) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    (UCWeb Inc.) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    () C:\Program Files (x86)\UCBrowser\Application\6.1.2909.1213\UCAgent.exe
    (UCWeb Inc.) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    (UCWeb Inc.) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    (UCWeb Inc.) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    (UCWeb Inc.) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    (UCWeb Inc.) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    (深圳市迅雷网络技术有限公司) C:\Users\АсКомп\AppData\Local\UCBrowser\User Data_i18n\Thunder\1.0.0.0\download\MiniThunderPlatform.exe
    (UCWeb Inc.) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    (UCWeb Inc.) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    (UCWeb Inc.) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    (UCWeb Inc.) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    R2 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [628496 2017-06-28] () <==== ATTENTION
    S3 DroqagegrowosyReportsZaxar; rundll32.exe "C:\Program Files (x86)\Droqagegrowosy Reports\DroqagegrowosyReportsZaxar.dll",soeasy [X]
    S3 ElextechJava; rundll32.exe "C:\Program Files (x86)\Elex-tech\ElextechJava.dll",soeasy [X]
    S3 GerwoshAnuzuiedServer; rundll32.exe "C:\Program Files (x86)\Anuzuied Server\GerwoshAnuzuiedServer.dll",soeasy [X]
    S3 PlopitainarerlupyCoutock; rundll32.exe "C:\Program Files (x86)\Coutock\PlopitainarerlupyCoutock.dll",soeasy [X]
    U5 SharedAccess; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    2017-07-12 21:34 - 2017-06-09 20:34 - 00002562 _____ C:\Windows\System32\Tasks\UCBrowserUpdaterCore
    2017-07-12 21:34 - 2017-06-09 20:34 - 00000294 _____ C:\Windows\Tasks\UCBrowserUpdaterCore.job
    Task: {9383BC87-6FF2-453A-B569-309AC95720FC} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-06-28] (UCWeb Inc) <==== ATTENTION
    Task: {94D9E8F2-17E5-410D-B3C3-314A18BE0F5A} - System32\Tasks\ucbrowserupdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-06-28] (UCWeb Inc) <==== ATTENTION
    Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
    C:\Program Files (x86)\UCBrowser\
    C:\Users\АсКомп\AppData\Local\UCBrowser\
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Paje 13-07-2017 16:39 2751136
Спасибо за содействие. Сделал, прикрепляю файл.

Sandor 13-07-2017 16:40 2751137
Еще раз соберите свежий лог сканирования AdwCleaner.

Paje 13-07-2017 17:06 2751143
Вот что получилось...

Paje 13-07-2017 17:08 2751145
....

Sandor 13-07-2017 21:59 2751206
Теперь еще раз соберите и прикрепите SecurityCheck.txt

Paje 14-07-2017 00:58 2751245
Результат

Sandor 14-07-2017 08:06 2751270
Хм, этот UC Browser не сдается ))
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.


Время: 15:32.

Время: 15:32.
© OSzone.net 2001-