[zirreX]

Dr.FRECH, в дополнение выполните такой скрипт.

Отключите защитное ПО (Антивирус/Файерволл)!

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('xbkwqsigih', 4);
 QuarantineFile('C:\WINDOWS\system32\CLNT.exe','');
 QuarantineFile('digeste.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\dmupn.sys','');
 QuarantineFile('C:\Uninstall.exe','');
 QuarantineFile('C:\Uninstall.ini','');
 DeleteFile('C:\WINDOWS\system32\drivers\dmupn.sys');
 DeleteFile('digeste.dll');
 DeleteFile('C:\WINDOWS\system32\CLNT.exe');
 DelCLSID('{925CA8F7-AAAE-D752-77E9-AC16874220F2}');
 RegKeyStrParamWrite('HKLM','system\currentcontrolset\control\securityproviders','SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, cpssp.dll');
 DeleteService('xbkwqsigih');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('xbkwqsigih');
BC_Activate;
 ExecuteRepair(16);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

Сделайте новые логи!

[Dr.FRECH]

alex_sev
выполнил скрипт, отослал карантин, в HijackThis не было указанных пунктов, Malwarebytes' Anti-Malware не грузится или не устанавливается не знаю, после запуска mbam-setup.exe висит досовское окно и все, логи после ваших рекомендаций.
zirreX сейчас выполню ваш скрипт.
Кстати при старте системы висит в процесах iexplore.exe хотя я его не стартую.

[Dr.FRECH]

zirreX логи после вашего скрипта

[okshef]

Цитата alex_sev:

IE9 + все обновления для него »

для XP IE8 - максимум

[zirreX]

Карантин после последнего скрипта отправьте по форме


• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\Program Files\7zip\7zip.exe','');
 DeleteFile('C:\Program Files\7zip\7zip.exe');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\servises');                              
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(16);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

• Internet Explorer обновить до восьмой версии.

Сделайте новые логи.

Попробуйте запустить MBAM и сделать лог полного сканирования.

[Dr.FRECH]

Explorer стартует, обновил IE
сейчас сканирует MBAM но видимо это на долго, пока прикрепляю логи.

[thyrex]

Dr.FRECH, во вложении мой самодельный дешифратор

Как работать с ним

1. Скопируйте все зашифрованные файлы в отдельную папку. Если зашифрованы файлы на разных дисках, лучше для каждого диска создать свою папку. Папки, созданные шифровальщиком, лучше оставить пока в том виде, в котором они есть
2. Запустите программу и после нажатия на кнопку выберите любой файл с расширением .RN в любой из созданных Вами папок
3. Программа получит список всех файлов (их количество будет указано в соответствующем окне) и в папке с зашифрованными файлами будет создана папка Decoded, куда будут записаны расшифрованные файлы
4. Повторить процедуру для всех созданных Вами папок с зашифрованными файлами

Результат сообщите

[Dr.FRECH]

попробовал декодировать, в общем результат такой, часть инфы восстановлена, архивы и пдф не возвращаются в нормальное состояние (ну об этом и предупреждалось) и не возможно декодировать папку если в имени файла присутствует $, спасибо за помощь с дешифратором, хоть чтото да есть, ну а для остального надо ждать пока ответят во всяких вирлабах.

[iskander-k]

Цитата Dr.FRECH:

архивы и пдф не возвращаются в нормальное состояние »

Присоедините к сообщению или на обменник пару таких нерасшифрованных файлов(особенно с символом $ ). Будем работать дальше над утилитой.

[thyrex]

Кажется я понял, причем здесь символ $

Возможно я выложил не финальную версию дешифратора. Извините
Кроме того, оказалось, что шифровальщик записывает некий мусор в конце файлов

В аттаче новая версия. Однако проблема с xls и архивами пока не поддается решению