Решена Расшифровка файлов, пораженных email-trojanencoder@aol.com.ver-CL 1.2.0.0

Тема в разделе "Лечение компьютерных вирусов", создана пользователем bahilazzz, 7 фев 2016.

Статус темы:
Закрыта.
  1. bahilazzz
    Оффлайн

    bahilazzz Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    Доброго времени суток! 3-го февраля 2016г. компьютер был подвергнут заражению трояном-шифровальщиком email-trojanencoder@aol.com.ver-CL 1.2.0.0. Прошу помочь расшифровать файлы. Логи autologger'а прилагаю.
     

    Вложения:

  2. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.217
    Симпатии:
    4.978
    Здравствуйте.

    Амиго браузер ваше?

    MediaGet и Skype Click to Call - рекомендую к удалению.

    Удалите через установку и удаление программ:
    Norton Online Backup

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  3. bahilazzz
    Оффлайн

    bahilazzz Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    Готово. Файл со отчетом во вложении.
     

    Вложения:

  4. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.217
    Симпатии:
    4.978
    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  5. bahilazzz
    Оффлайн

    bahilazzz Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    Выполнено.
     

    Вложения:

    • Addition.txt
      Размер файла:
      44,2 КБ
      Просмотров:
      1
    • FRST.txt
      Размер файла:
      37,8 КБ
      Просмотров:
      1
    • Shortcut.txt
      Размер файла:
      128,1 КБ
      Просмотров:
      1
    • AdwCleaner[C1].txt
      Размер файла:
      5,6 КБ
      Просмотров:
      1
  6. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.217
    Симпатии:
    4.978
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код (Text):
    start
    CreateRestorePoint:
    CustomCLSID: HKU\S-1-5-21-487851000-2695870874-4025027532-1000_Classes\CLSID\{118BEDCC-A901-4203-B4F2-ADCB957D1887}\InprocServer32 -> C:\Users\Sony\AppData\Roaming\sta.dll => No File
    Task: {19AFB6B2-33F9-4587-A9B4-0F63D45FF0CA} - System32\Tasks\KRB Updater Utility => C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe
    Task: {3A389DD2-6541-4FFF-A138-56184F0325F9} - System32\Tasks\{6DD31D13-B890-4BE6-861A-100E558687FD} => C:\Program Files (x86)\Common Files\AppDownloads\{6DD31D13-B890-4BE6-861A-100E558687FD}.exe
    Task: {47722D45-447D-49F6-B7BE-1B1A7B74ACA2} - System32\Tasks\{2B757E7B-4F06-433B-A640-9927ED49BC5E} => C:\Program Files (x86)\Common Files\AppDownloads\{2B757E7B-4F06-433B-A640-9927ED49BC5E}.exe
    Task: {628DE5B0-62F1-49FE-9BA8-1D74E76D1B3D} - System32\Tasks\{0C44ED4C-96C6-4091-9948-37C64119B5F2} => C:\Program Files (x86)\Common Files\AppDownloads\{0C44ED4C-96C6-4091-9948-37C64119B5F2}.exe
    Task: {707F08AB-7D9D-451E-8996-82B2FA054A13} - System32\Tasks\{5804606E-A8C5-4A06-986E-44307E2A1A6F} => C:\Program Files (x86)\Common Files\AppDownloads\{5804606E-A8C5-4A06-986E-44307E2A1A6F}.exe
    Task: {85BAE0B2-823C-44F0-8C3D-9367034F5673} - System32\Tasks\{D07D7672-FBA7-4C57-B266-CB87CD5B67DC} => C:\Program Files (x86)\Common Files\AppDownloads\{D07D7672-FBA7-4C57-B266-CB87CD5B67DC}.exe
    Task: {9B4528A5-30B3-429F-B9AF-2078315D3930} - System32\Tasks\{49FA715F-05FB-44E7-B831-0BDB5D3945BB} => C:\Program Files (x86)\Common Files\AppDownloads\{49FA715F-05FB-44E7-B831-0BDB5D3945BB}.exe
    Task: {D51ED804-A35C-4530-A9AD-0F8C0DB59608} - System32\Tasks\Microsoft\Windows\KRBUUS\KRB Updater Utility Service => C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe
    Task: {FA58A64A-D82B-4C32-96E9-85E1349E053A} - System32\Tasks\{BE073F7D-B201-474A-8B9A-AB0BCE2B357C} => C:\Program Files (x86)\Common Files\AppDownloads\{BE073F7D-B201-474A-8B9A-AB0BCE2B357C}.exe
    DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^KRB Updater Utility.lnk
    DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo
    DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaGet2
    DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg
    DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Norton Online Backup
    FirewallRules: [{9AC100B8-F18C-4D08-B41F-FA5A40FF45AF}] => (Allow) C:\Users\Sony\AppData\Local\Amigo\Application\amigo.exe
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    CHR HKU\S-1-5-21-487851000-2695870874-4025027532-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    SearchScopes: HKU\S-1-5-21-487851000-2695870874-4025027532-1000 -> {18E23806-47FF-4086-AA87-71605A7C302A} URL = hxxp://services.zinio.com/search?s={searchTerms}&rf=sonyslices
    BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
    BHO-x32: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll => No File
    BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
    Toolbar: HKLM-x32 - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll No File
    Toolbar: HKU\S-1-5-21-487851000-2695870874-4025027532-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
    Toolbar: HKU\S-1-5-21-487851000-2695870874-4025027532-1000 -> No Name - {4F524A2D-5354-2D53-5045-7A786E7484D7} -  No File
    CHR Extension: (Smart Browser) - C:\Users\Sony\AppData\Local\Google\Chrome\User Data\Default\Extensions\akimgimeeoiognljlfchpbkpfbmeapkh [2015-06-09]
    CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - hxxp://vkplayerpro.ru/index.xml
    CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
    CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
    File: C:\Users\Sony\Desktop\gjwuex3x.exe
    File: C:\Users\Sony\Downloads\5DC0.tmp
    2016-02-20 13:48 - 2009-07-14 09:45 - 00013808 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
    2016-02-20 13:48 - 2009-07-14 09:45 - 00013808 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
    Folder: C:\Windows\system32\FxsTmp
    Folder: C:\Windows\pss
    2016-02-03 12:35 - 2016-02-03 12:35 - 0000082 _____ () C:\Program Files (x86)\JLFEWTHAXB.QCW
    2014-07-03 16:39 - 2015-02-25 09:22 - 4095136 _____ () C:\Users\Sony\AppData\Roaming\qq34.dat
    File: C:\Users\Sony\AppData\Local\keyfile3.drm
    File: C:\ProgramData\KGyGaAvL.sys
    C:\Users\Sony\AppData\Local\Temp\amigo_setup.exe
    C:\Users\Sony\AppData\Local\Temp\FX1BC0u9uUiQ.exe
    C:\Users\Sony\AppData\Local\Temp\iZ2WxUiPc7Ux.exe
    C:\Users\Sony\AppData\Local\Temp\LsI7GuENYwzs.exe
    C:\Users\Sony\AppData\Local\Temp\mediaget-uninstaller.exe
    EmptyTemp:
    Reboot:
    end
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.



    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Деинсталлировать).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.


    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
    Подробнее читайте в этом разделе форума поддержки утилиты.
     
    Последнее редактирование: 21 фев 2016
  7. bahilazzz
    Оффлайн

    bahilazzz Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    Прикрепляю файлы ниже.
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      16,2 КБ
      Просмотров:
      1
    • SecurityCheck.txt
      Размер файла:
      10,8 КБ
      Просмотров:
      2
  8. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.217
    Симпатии:
    4.978
    Папки
    C:\Windows\pss
    C:\FRST
    удалите вручную.

    Исправьте:

    Internet Explorer 11.0.9600.17633 Внимание! Скачать обновления
    ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
    Контроль учётных записей пользователя отключен
    Запрос на повышение прав для администраторов отключен
    ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

    TeamViewer 8 v.8.0.16642 Внимание! Скачать обновления
    ^Необязательное обновление.^
    Архиватор WinRAR
    --------------------------------- [ IM ] ----------------------------------
    Skype™ 7.2 v.7.2.103 Внимание! Скачать обновления
    ^Необязательное обновление.^
    -------------------------------- [ Java ] ---------------------------------
    Java 8 Update 60 v.8.0.600.27 Внимание! Скачать обновления
    ^Удалите старую версию и установите новую (jre-8u74-windows-i586.exe)^
    --------------------------- [ AppleProduction ] ---------------------------
    QuickTime
    --------------------------- [ AdobeProduction ] ---------------------------
    Adobe AIR v.1.5.3.9130 Внимание! Скачать обновления
    Adobe Flash Player 20 ActiveX v.20.0.0.286 Внимание! Скачать обновления
    Adobe Flash Player 20 NPAPI v.20.0.0.286 Внимание! Скачать обновления
    Adobe Reader 9.5.5 - Russian v.9.5.5 Внимание! Скачать обновления
    ^Проверьте обновления через меню Справка - Проверить обновления!^
    ------------------------------- [ Browser ] -------------------------------
    Google Chrome v.45.0.2421.0 Внимание! Скачать обновления
    ^Проверьте обновления через меню Справка - О Google Chrome!^

    Амиго v.45.0.2454.107 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
    Google Toolbar for Internet Explorer v.1.0.0 << Скрыта Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

    Выполните рекомендации после лечения.



    Подготовьте данные согласно этой инструкции:
    http://safezone.cc/threads/pravila-sozdanija-zaprosa-okazanija-pomoschi-v-rasshifrovke-fajlov.25966/

    И разместите здесь тему:
    http://safezone.cc/forums/decrypt_files/

    Далее непосредственно расшифровка,если это доступно.
     
Статус темы:
Закрыта.

Поделиться этой страницей