Решена Прошу помощи в расшифровке email-trojanencoder@aol.com.ver-CL 1.2.0.0.

Тема в разделе "Лечение компьютерных вирусов", создана пользователем pashka_j, 18 мар 2016.

Статус темы:
Закрыта.
  1. pashka_j
    Оффлайн

    pashka_j Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    Бухгалтерия открыла файл из почты. Обидно, что за два дня до этого с ними была проведена работа как раз по поводу неоткрывания непонятных файлов. Но тут письмо было почти от ожидаемого отправителя...
    Соответственно всё, куда был доступ зашифровалось. Особо нужные файлы, конечно, восстановил из архивов, но все-таки хотелось бы и зашифрованные вернуть назад.

    Прикладываю лог и пример зашифрованного файла
     

    Вложения:

  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.226
    Симпатии:
    4.980
    Здравствуйте.
    C:\WINDOWS\system32\rc\winvnc.exe - ваше?

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\program files\service.exe');
    QuarantineFile('c:\program files\service.exe', '');
    QuarantineFile('Winsskprd.sys','');
    DeleteFile('c:\program files\service.exe', '32');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


    Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
    Подробнее читайте в руководстве.
     
  3. pashka_j
    Оффлайн

    pashka_j Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    Здравствуйте
    Спасибо за ответ
    Да это мой файл. Остальное только в понедельник смогу сделать
     
  4. pashka_j
    Оффлайн

    pashka_j Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    Прикрепляю файлы сканирования.
    И еще. Пришло письмо со ссылкой на приватную тему (мою). Но на сайте такого ответа не вижу. А в правилах было что-то по поводу "не делать того, что в письмах, а только то, что на сайте есть". Хотя автор mike_1 рводе как модератор. Так что делать ?
     

    Вложения:

  5. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.226
    Симпатии:
    4.980
    Все верно написано - если не указано в теме лечения то игнорируйте любые рекомендации.
    За то,что мы не рекомендовали в спец.разделах мы не отвечаем.
    @mike 1 специализируется на расшифровке,раздел лечения здесь.



    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
    ClearLog;
    QuarantineFile('C:\Program Files\desk.bmp', '');
    QuarantineFile('C:\Program Files\service.exe', '');
    QuarantineFile('C:\Program Files\CKSNROPNSB.PTV', '');
    QuarantineFile('C:\Program Files\ConeXware, Inc', '');
    QuarantineFile('C:\Program Files\ConeXware.*', '');
    QuarantineFile('C:\Program Files\desk.jpg', '');
    QuarantineFile('C:\Documents and Settings\specdpk\Мои документы\archive.tar', '');
    DeleteFile('C:\Documents and Settings\specdpk\Мои документы\archive.tar');
    DeleteFile('C:\Program Files\desk.jpg');
    DeleteFile('C:\Program Files\ConeXware.*');
    DeleteFile('C:\Program Files\ConeXware, Inc');
    DeleteFile('C:\Program Files\CKSNROPNSB.PTV');
    DeleteFile('C:\Program Files\service.exe');
    DeleteFile('C:\Program Files\desk.bmp');
      RegKeyParamDel('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'pr');
      RegKeyParamWrite('HKEY_USERS',
                        'S-1-5-21-790525478-725345543-73701141-1250\Control Panel\Desktop',
                        'Wallpaper',
                        'REG_SZ','');
      ExpRegKey('HKEY_USERS',
                        'S-1-5-21-790525478-725345543-73701141-1250\Control Panel\Desktop',
                         GetAVZDirectory +'reg_backup.reg');
    QuarantineFileF('GetAVZDirectory', '*.reg', false, '', 0, 0);
    SaveLog(GetAVZDirectory + 'protocol.log');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.



     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip',
                            GetAVZDirectory + 'protocol.log;'
                            + GetAVZDirectory + 'reg_backup.reg');
    end.
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


    Групповые плитики - ваши настройки?
    Код (Text):
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <====== ATTENTION
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\*.exe <====== ATTENTION
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\*.exe <====== ATTENTION
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <====== ATTENTION
     

    Сделайте новые лог Autologger и FRST
     
    Последнее редактирование: 21 мар 2016
  6. pashka_j
    Оффлайн

    pashka_j Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    реестр я не менял. Во всяком случае осознанно.
    Логи прикрепил.
     

    Вложения:

  7. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Групповые политики в домене настраивали?
    Обычно это не через реестр, а через gpedit.msc делается.
     
  8. pashka_j
    Оффлайн

    pashka_j Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    Да, когда-то пробовал настраивать доменные политики для некоторых машин запрет на запуск программ. Но отвлекли и забыл про это. Так и не вернулся к этому больше
     
  9. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.226
    Симпатии:
    4.980
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
    ClearLog;
    QuarantineFileF('C:\Program Files', 'ConeXware*.*', false, '', 0, 0);
    QuarantineFileF('GetAVZDirectory', '*.reg', false, '', 0, 0);
    QuarantineFileF('C:\tttt', '*', true, '', 0, 0);
    QuarantineFileF('C:\rrr', '*', true, '', 0, 0);
    QuarantineFile('C:\Documents and Settings\specdpk\Мои документы\archive.tar', '');
    QuarantineFile('C:\Documents and Settings\specdpk\Мои документы\archive (1).tar', '');
    DeleteFile('C:\Documents and Settings\specdpk\Мои документы\archive (1).tar');
    DeleteFile('C:\Documents and Settings\specdpk\Мои документы\archive.tar');
    DeleteFile('C:\Program Files\ConeXware, Inc.bak');
    SaveLog(GetAVZDirectory + 'protocol.log');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.


     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
     
  10. pashka_j
    Оффлайн

    pashka_j Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    Каталоги rrrrr и tttt я создавал для выполнения инструкций как раз.
    Из-за них архив большой получился
    --- Объединённое сообщение, 24 мар 2016 ---
    Получилось 25 Мб. Пришлось разбить на 3 части
     

    Вложения:

  11. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.226
    Симпатии:
    4.980
    Не вижу ничего от вас,продублируйте карантин.
     
  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Koza Nozdri, карантин пришёл, только толку от этого... он на части порезан в многотомный архив. А по остальному я тебе до этого в ЛС писал.
     
  13. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.226
    Симпатии:
    4.980
    +
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код (Text):
    start
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <====== ATTENTION
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\*.exe <====== ATTENTION
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\*.exe <====== ATTENTION
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <====== ATTENTION
    2016-03-18 11:18 - 2016-03-18 11:18 - 00000000 ____D C:\Program Files\ConeXware, Inc.bak
    EmptyTemp:
    Reboot:
    end
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.


    Повторите лог.
     
  14. pashka_j
    Оффлайн

    pashka_j Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    Сделал. Карантин еще раз пересылать ? Могу ну ядиск, например, кинуть или еще куда.
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      2,1 КБ
      Просмотров:
      1
  15. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.226
    Симпатии:
    4.980
    Нет,все хорошо.
    Неудачные настройки политик тоже подчистили.

    Удалите MBAM.
    Еще раз сделайте контрольный лог FRST

    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
    Подробнее читайте в этом разделе форума поддержки утилиты.
     
  16. pashka_j
    Оффлайн

    pashka_j Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    Сделано
     

    Вложения:

  17. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.226
    Симпатии:
    4.980
    Вы еще контрольный лог FRST забыли.



    Internet Explorer 8.0.6001.18702 Внимание! Скачать обновления
    ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

    Архиватор WinRAR v.4.00 Final Внимание! Скачать обновления

    Java(TM) 7 Update 2 v.7.0.20 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
    ^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше (jre-7u80-windows-i586.exe). Желательно отключить Java-плагин в браузере!!!^

    Adobe Reader 9.4.5 - Russian v.9.4.5 Внимание! Скачать обновления
    ^Проверьте обновления через меню Справка - Проверить обновления!^
    -
    Mozilla Firefox 42.0 (x86 ru) v.42.0 Внимание! Скачать обновления
    ^Проверьте обновления через меню Справка - О Firefox!^

    Уязвимость компонента Microsoft Graphics делает возможным удаленное выполнение кода Скачать обновления
     
  18. pashka_j
    Оффлайн

    pashka_j Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    Почему-то не пришло уведомление на почту про новые ответы. А сюда не заглядывал. Прошу прощения за молчание.
    Я так понимаю, мне нужно установить обновления вышеуказанные? Это, опять же, как я понимаю, мера профилактики ?
    Лог прилагаю.
     

    Вложения:

    • FRST.txt
      Размер файла:
      39,1 КБ
      Просмотров:
      3
  19. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.226
    Симпатии:
    4.980
    Примерно так.

    Можете показать содержимое папки:
    С:\Program Files\ConeXware, Inc.bak ?
    (Упаковать в архив и залить на rghost)
    --- Объединённое сообщение, 8 апр 2016 ---
    MBAM тоже можно удалить.
     
    Последнее редактирование: 8 апр 2016
  20. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.226
    Симпатии:
    4.980
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.



    Удалите эту папку вручную - С:\Program Files\ConeXware, Inc.bak (там вирус)
    C:\WINDOWS\MEMORY.DMP - Этот файл проверьте на virustotal.

    Папку c:\frst тоже удалите.
     
    Последнее редактирование: 8 апр 2016
Статус темы:
Закрыта.

Поделиться этой страницей