Решена Прошу о помощи с шифратором backspace@riseup.net_245

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Paradoks, 22 янв 2014.

Статус темы:
Закрыта.
  1. Paradoks
    Оффлайн

    Paradoks Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    Добрый день. Меня зовут Павел, занимаю должность системного администратора. Столкнулся с проблемой, сотрудница подхватила вирус шифратор backspace@riseup.net_245. Поиски дешифратора по конкретному трояну были безуспешными. Наткнулся на тему у Вас на форуме. http://safezone.cc/threads/backspace-riseup-net-449.22850/ На данный момент у сотрудницы огромное количество зашифрованых документов xls, docx, pdf, архивов rar zip. Прилагаю логи. Надеюсь на скорый ответ. С уважением к Вам, Аввакумов П.А.
     

    Вложения:

    Последнее редактирование: 22 янв 2014
  2. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    Выполните скрипт в AVZ

    Код (Text):
    begin

    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

    if not IsWOW64

    then

      begin

      SearchRootkit(true, true);

      SetAVZGuardStatus(True);

      end;

    QuarantineFile('C:\Users\VORONK~1\AppData\Local\Temp\rad8A9BD.tmp.exe','');

    DeleteFile('C:\Users\VORONK~1\AppData\Local\Temp\rad8A9BD.tmp.exe','32');

    DeleteFile('C:\Windows\system32\Tasks\gxrxbh','64');

    DeleteFile('C:\Windows\Tasks\gxrxbh.job','64');

    BC_ImportAll;

    ExecuteSysClean;

    BC_Activate;

    RebootWindows(false);

    end.
    Компьютер перезагрузится.


    Выполните скрипт в AVZ

    Код (Text):
    begin

    CreateQurantineArchive('c:\quarantine.zip');

    end.
    Отправьте c:\quarantine.zip при помощи этой формы


    Сделайте новые логи
     
    Последнее редактирование: 25 янв 2014
    akok нравится это.
  3. Paradoks
    Оффлайн

    Paradoks Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    Отправил. Новые логи прикрепил.
     

    Вложения:

  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    C:\Users\voronkovatv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pic.bmp - что на картинке?

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RebootWindows(false);
    end.
    После выполнения скрипта компьютер перезагрузится.
     
  5. Paradoks
    Оффлайн

    Paradoks Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    Восхитительный банер вымогателя (Негр, страшная рожа и текст про пиратов). Загружается как картинка в диспетчере рисунков при старте. Очень поэтично... прикрепить?

    Скрипт выполнил, логи прикрепил.
     

    Вложения:

  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Если нет похабщины крепите в jpg. Если захотите убрать картинку, то перенесите ее из папки
    Код (Text):
    C:\Users\voronkovatv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pic.bmp
     
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    По нашим данным никто дешифратором не поделился.
     
  8. Paradoks
    Оффлайн

    Paradoks Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    Значит ли это, что всё тлен и безысходность? =(
     

    Вложения:

    • pic.jpg
      pic.jpg
      Размер файла:
      149,2 КБ
      Просмотров:
      6
  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Бекапы? Лицензии drweb нет случаем?
     
  10. Paradoks
    Оффлайн

    Paradoks Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    Нет, корпоративный Кашмарский.

    Триального доктора веба не хватит?
    --- Объединённое сообщение, 28 янв 2014, Дата первоначального сообщения: 28 янв 2014 ---
    Есть возможность приобрести лицензию. Но есть ли вероятность, что их служба расшифровки даст результат?
     
  11. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    Результат (полноценный) в утилитах Касперского или Доктора появляется в случае, если нужный дешифратор каким-либо образом попал в вирлаб
     
Статус темы:
Закрыта.

Поделиться этой страницей