Решена Прошу помощи в расшифровке email-trojanencoder@aol.com.ver-CL 1.2.0.0.

Статус
В этой теме нельзя размещать новые ответы.

pashka_j

Новый пользователь
Сообщения
10
Реакции
0
Бухгалтерия открыла файл из почты. Обидно, что за два дня до этого с ними была проведена работа как раз по поводу неоткрывания непонятных файлов. Но тут письмо было почти от ожидаемого отправителя...
Соответственно всё, куда был доступ зашифровалось. Особо нужные файлы, конечно, восстановил из архивов, но все-таки хотелось бы и зашифрованные вернуть назад.

Прикладываю лог и пример зашифрованного файла
 

Вложения

  • CollectionLog-2016.03.18-15.23.zip
    41.5 KB · Просмотры: 3
  • email-trojanencoder@aol.com.ver-CL.rar
    13.9 KB · Просмотры: 1
Здравствуйте.
C:\WINDOWS\system32\rc\winvnc.exe - ваше?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\service.exe');
QuarantineFile('c:\program files\service.exe', '');
QuarantineFile('Winsskprd.sys','');
DeleteFile('c:\program files\service.exe', '32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.
 
Прикрепляю файлы сканирования.
И еще. Пришло письмо со ссылкой на приватную тему (мою). Но на сайте такого ответа не вижу. А в правилах было что-то по поводу "не делать того, что в письмах, а только то, что на сайте есть". Хотя автор mike_1 рводе как модератор. Так что делать ?
 

Вложения

  • CollectionLog-2016.03.21-15.56.zip
    41 KB · Просмотры: 1
  • MBAM-log-2016-03-21 (16-24-57).txt
    3.3 KB · Просмотры: 3
Пришло письмо со ссылкой на приватную тему (мою). Но на сайте такого ответа не вижу. А в правилах было что-то по поводу "не делать того, что в письмах, а только то, что на сайте есть". Хотя автор mike_1 рводе как модератор. Так что делать ?
Все верно написано - если не указано в теме лечения то игнорируйте любые рекомендации.
За то,что мы не рекомендовали в спец.разделах мы не отвечаем.
@mike 1 специализируется на расшифровке,раздел лечения здесь.



Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
ClearLog;
QuarantineFile('C:\Program Files\desk.bmp', '');
QuarantineFile('C:\Program Files\service.exe', '');
QuarantineFile('C:\Program Files\CKSNROPNSB.PTV', '');
QuarantineFile('C:\Program Files\ConeXware, Inc', '');
QuarantineFile('C:\Program Files\ConeXware.*', '');
QuarantineFile('C:\Program Files\desk.jpg', '');
QuarantineFile('C:\Documents and Settings\specdpk\Мои документы\archive.tar', '');
DeleteFile('C:\Documents and Settings\specdpk\Мои документы\archive.tar');
DeleteFile('C:\Program Files\desk.jpg');
DeleteFile('C:\Program Files\ConeXware.*');
DeleteFile('C:\Program Files\ConeXware, Inc');
DeleteFile('C:\Program Files\CKSNROPNSB.PTV');
DeleteFile('C:\Program Files\service.exe');
DeleteFile('C:\Program Files\desk.bmp');
  RegKeyParamDel('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'pr');
  RegKeyParamWrite('HKEY_USERS',
                    'S-1-5-21-790525478-725345543-73701141-1250\Control Panel\Desktop',
                    'Wallpaper',
                    'REG_SZ','');
  ExpRegKey('HKEY_USERS',
                    'S-1-5-21-790525478-725345543-73701141-1250\Control Panel\Desktop',
                     GetAVZDirectory +'reg_backup.reg');
QuarantineFileF('GetAVZDirectory', '*.reg', false, '', 0, 0);
SaveLog(GetAVZDirectory + 'protocol.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip',
                        GetAVZDirectory + 'protocol.log;'
                        + GetAVZDirectory + 'reg_backup.reg');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Групповые плитики - ваши настройки?
Код:
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\*.exe <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\*.exe <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <====== ATTENTION


Сделайте новые лог Autologger и FRST
 
Последнее редактирование:
реестр я не менял. Во всяком случае осознанно.
Логи прикрепил.
 

Вложения

  • CollectionLog-2016.03.21-19.13.zip
    62.3 KB · Просмотры: 2
  • Addition.txt
    39 KB · Просмотры: 3
  • FRST.txt
    49.6 KB · Просмотры: 2
  • Shortcut.txt
    58.4 KB · Просмотры: 0
Групповые политики в домене настраивали?
Обычно это не через реестр, а через gpedit.msc делается.
 
Да, когда-то пробовал настраивать доменные политики для некоторых машин запрет на запуск программ. Но отвлекли и забыл про это. Так и не вернулся к этому больше
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
ClearLog;
QuarantineFileF('C:\Program Files', 'ConeXware*.*', false, '', 0, 0);
QuarantineFileF('GetAVZDirectory', '*.reg', false, '', 0, 0);
QuarantineFileF('C:\tttt', '*', true, '', 0, 0);
QuarantineFileF('C:\rrr', '*', true, '', 0, 0);
QuarantineFile('C:\Documents and Settings\specdpk\Мои документы\archive.tar', '');
QuarantineFile('C:\Documents and Settings\specdpk\Мои документы\archive (1).tar', '');
DeleteFile('C:\Documents and Settings\specdpk\Мои документы\archive (1).tar');
DeleteFile('C:\Documents and Settings\specdpk\Мои документы\archive.tar');
DeleteFile('C:\Program Files\ConeXware, Inc.bak');
SaveLog(GetAVZDirectory + 'protocol.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Каталоги rrrrr и tttt я создавал для выполнения инструкций как раз.
Из-за них архив большой получился
Получилось 25 Мб. Пришлось разбить на 3 части
 

Вложения

  • CollectionLog-2016.03.24-18.58.zip
    40.9 KB · Просмотры: 1
+
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\*.exe <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\*.exe <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <====== ATTENTION
2016-03-18 11:18 - 2016-03-18 11:18 - 00000000 ____D C:\Program Files\ConeXware, Inc.bak
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Повторите лог.
 
Сделал. Карантин еще раз пересылать ? Могу ну ядиск, например, кинуть или еще куда.
 

Вложения

  • Fixlog.txt
    2.1 KB · Просмотры: 1
Нет,все хорошо.
Неудачные настройки политик тоже подчистили.

Удалите MBAM.
Еще раз сделайте контрольный лог FRST

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.
 
Сделано
 

Вложения

  • SecurityCheck.txt
    7.7 KB · Просмотры: 2
Вы еще контрольный лог FRST забыли.



Internet Explorer 8.0.6001.18702 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Архиватор WinRAR v.4.00 Final Внимание! Скачать обновления

Java(TM) 7 Update 2 v.7.0.20 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше (jre-7u80-windows-i586.exe). Желательно отключить Java-плагин в браузере!!!^

Adobe Reader 9.4.5 - Russian v.9.4.5 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
-
Mozilla Firefox 42.0 (x86 ru) v.42.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^

Уязвимость компонента Microsoft Graphics делает возможным удаленное выполнение кода Скачать обновления
 
Почему-то не пришло уведомление на почту про новые ответы. А сюда не заглядывал. Прошу прощения за молчание.
Я так понимаю, мне нужно установить обновления вышеуказанные? Это, опять же, как я понимаю, мера профилактики ?
Лог прилагаю.
 

Вложения

  • FRST.txt
    39.1 KB · Просмотры: 3
Это, опять же, как я понимаю, мера профилактики ?
Примерно так.

Можете показать содержимое папки:
С:\Program Files\ConeXware, Inc.bak ?
(Упаковать в архив и залить на rghost)
MBAM тоже можно удалить.
 
Последнее редактирование:
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.



Удалите эту папку вручную - С:\Program Files\ConeXware, Inc.bak (там вирус)
C:\WINDOWS\MEMORY.DMP - Этот файл проверьте на virustotal.

Папку c:\frst тоже удалите.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу