Решена Расшифровка файлов, пораженных email-trojanencoder@aol.com.ver-CL 1.2.0.0

Статус
В этой теме нельзя размещать новые ответы.

bahilazzz

Новый пользователь
Сообщения
4
Реакции
0
Доброго времени суток! 3-го февраля 2016г. компьютер был подвергнут заражению трояном-шифровальщиком email-trojanencoder@aol.com.ver-CL 1.2.0.0. Прошу помочь расшифровать файлы. Логи autologger'а прилагаю.
 

Вложения

Здравствуйте.

Амиго браузер ваше?

MediaGet и Skype Click to Call - рекомендую к удалению.

Удалите через установку и удаление программ:
Norton Online Backup

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-487851000-2695870874-4025027532-1000_Classes\CLSID\{118BEDCC-A901-4203-B4F2-ADCB957D1887}\InprocServer32 -> C:\Users\Sony\AppData\Roaming\sta.dll => No File
Task: {19AFB6B2-33F9-4587-A9B4-0F63D45FF0CA} - System32\Tasks\KRB Updater Utility => C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe
Task: {3A389DD2-6541-4FFF-A138-56184F0325F9} - System32\Tasks\{6DD31D13-B890-4BE6-861A-100E558687FD} => C:\Program Files (x86)\Common Files\AppDownloads\{6DD31D13-B890-4BE6-861A-100E558687FD}.exe
Task: {47722D45-447D-49F6-B7BE-1B1A7B74ACA2} - System32\Tasks\{2B757E7B-4F06-433B-A640-9927ED49BC5E} => C:\Program Files (x86)\Common Files\AppDownloads\{2B757E7B-4F06-433B-A640-9927ED49BC5E}.exe
Task: {628DE5B0-62F1-49FE-9BA8-1D74E76D1B3D} - System32\Tasks\{0C44ED4C-96C6-4091-9948-37C64119B5F2} => C:\Program Files (x86)\Common Files\AppDownloads\{0C44ED4C-96C6-4091-9948-37C64119B5F2}.exe
Task: {707F08AB-7D9D-451E-8996-82B2FA054A13} - System32\Tasks\{5804606E-A8C5-4A06-986E-44307E2A1A6F} => C:\Program Files (x86)\Common Files\AppDownloads\{5804606E-A8C5-4A06-986E-44307E2A1A6F}.exe
Task: {85BAE0B2-823C-44F0-8C3D-9367034F5673} - System32\Tasks\{D07D7672-FBA7-4C57-B266-CB87CD5B67DC} => C:\Program Files (x86)\Common Files\AppDownloads\{D07D7672-FBA7-4C57-B266-CB87CD5B67DC}.exe
Task: {9B4528A5-30B3-429F-B9AF-2078315D3930} - System32\Tasks\{49FA715F-05FB-44E7-B831-0BDB5D3945BB} => C:\Program Files (x86)\Common Files\AppDownloads\{49FA715F-05FB-44E7-B831-0BDB5D3945BB}.exe
Task: {D51ED804-A35C-4530-A9AD-0F8C0DB59608} - System32\Tasks\Microsoft\Windows\KRBUUS\KRB Updater Utility Service => C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe
Task: {FA58A64A-D82B-4C32-96E9-85E1349E053A} - System32\Tasks\{BE073F7D-B201-474A-8B9A-AB0BCE2B357C} => C:\Program Files (x86)\Common Files\AppDownloads\{BE073F7D-B201-474A-8B9A-AB0BCE2B357C}.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^KRB Updater Utility.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaGet2
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Norton Online Backup
FirewallRules: [{9AC100B8-F18C-4D08-B41F-FA5A40FF45AF}] => (Allow) C:\Users\Sony\AppData\Local\Amigo\Application\amigo.exe
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-487851000-2695870874-4025027532-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-487851000-2695870874-4025027532-1000 -> {18E23806-47FF-4086-AA87-71605A7C302A} URL = hxxp://services.zinio.com/search?s={searchTerms}&rf=sonyslices
BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
BHO-x32: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll => No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM-x32 - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll No File
Toolbar: HKU\S-1-5-21-487851000-2695870874-4025027532-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-487851000-2695870874-4025027532-1000 -> No Name - {4F524A2D-5354-2D53-5045-7A786E7484D7} -  No File
CHR Extension: (Smart Browser) - C:\Users\Sony\AppData\Local\Google\Chrome\User Data\Default\Extensions\akimgimeeoiognljlfchpbkpfbmeapkh [2015-06-09]
CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - hxxp://vkplayerpro.ru/index.xml
CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
File: C:\Users\Sony\Desktop\gjwuex3x.exe
File: C:\Users\Sony\Downloads\5DC0.tmp
2016-02-20 13:48 - 2009-07-14 09:45 - 00013808 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2016-02-20 13:48 - 2009-07-14 09:45 - 00013808 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
Folder: C:\Windows\system32\FxsTmp
Folder: C:\Windows\pss
2016-02-03 12:35 - 2016-02-03 12:35 - 0000082 _____ () C:\Program Files (x86)\JLFEWTHAXB.QCW
2014-07-03 16:39 - 2015-02-25 09:22 - 4095136 _____ () C:\Users\Sony\AppData\Roaming\qq34.dat
File: C:\Users\Sony\AppData\Local\keyfile3.drm
File: C:\ProgramData\KGyGaAvL.sys
C:\Users\Sony\AppData\Local\Temp\amigo_setup.exe
C:\Users\Sony\AppData\Local\Temp\FX1BC0u9uUiQ.exe
C:\Users\Sony\AppData\Local\Temp\iZ2WxUiPc7Ux.exe
C:\Users\Sony\AppData\Local\Temp\LsI7GuENYwzs.exe
C:\Users\Sony\AppData\Local\Temp\mediaget-uninstaller.exe
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.



  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.
 
Последнее редактирование:
Папки
C:\Windows\pss
C:\FRST
удалите вручную.

Исправьте:

Internet Explorer 11.0.9600.17633 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

TeamViewer 8 v.8.0.16642 Внимание! Скачать обновления
^Необязательное обновление.^
Архиватор WinRAR
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.2 v.7.2.103 Внимание! Скачать обновления
^Необязательное обновление.^
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 60 v.8.0.600.27 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u74-windows-i586.exe)^
--------------------------- [ AppleProduction ] ---------------------------
QuickTime
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.1.5.3.9130 Внимание! Скачать обновления
Adobe Flash Player 20 ActiveX v.20.0.0.286 Внимание! Скачать обновления
Adobe Flash Player 20 NPAPI v.20.0.0.286 Внимание! Скачать обновления
Adobe Reader 9.5.5 - Russian v.9.5.5 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.45.0.2421.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^

Амиго v.45.0.2454.107 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Google Toolbar for Internet Explorer v.1.0.0 << Скрыта Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

Выполните рекомендации после лечения.



Подготовьте данные согласно этой инструкции:
https://safezone.cc/threads/pravila...azanija-pomoschi-v-rasshifrovke-fajlov.25966/

И разместите здесь тему:
https://safezone.cc/forums/decrypt_files/

Далее непосредственно расшифровка,если это доступно.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу