Закрыто вирус шифровальщик

Тема в разделе "Лечение компьютерных вирусов", создана пользователем spam17, 28 янв 2014.

Статус темы:
Закрыта.
  1. spam17
    Оффлайн

    spam17 Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    выручайте! подхватил трояна шифровальщика. он мне все файлы зашифровал! вложил архив с файлами..
    ВНИМАНИЕ!!!
    Ваш идентификатор (ID): bbs882467
    Все важные файлы на вашем компьютере зашированны.
    Расшифровка средствами антивирусных компаний невозможна.
    Попытки восстановить файлы сторонним утилитами могут привести к необратимому повреждению структуры файла. Прежде чем эксперементировать сделайте копии.
    Если зашифрованная информация представляет для вас ценность свяжитесь с нами по почте: johndoo390@sina.cn и мы сообщим вам как получить ключ расшифровки.
    Проверяйте папку "Спам" сообщения от нас могут попасть туда.
    В случае если вы долго не получаете ответа или предидущий емэйл не доступен свяжитесь с нами по запасному: josephmask240@terra.com
     

    Вложения:

    • Upload.rar
      Размер файла:
      20,5 КБ
      Просмотров:
      0
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.453
    Симпатии:
    13.952
  3. spam17
    Оффлайн

    spam17 Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Прикрепляю логи
     

    Вложения:

  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.453
    Симпатии:
    13.952
    C:\Documents and Settings\Светлана\Мои документы\Текстовый документ.cmd - каково содержимое файла?

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      end;
     QuarantineFile('c:\documents and settings\Светлана\8652582.exe','');
     DeleteFile('c:\documents and settings\Светлана\8652582.exe','32');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     BC_ImportALL;
      ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте при помощи этой формы
    --- Объединённое сообщение, 28 янв 2014 ---
    Код (Text):
    2014-01-28 15:31:39 ----A---- C:\XoristDecryptor.2.3.24.0_28.01.2014_15.31.39_log.txt
    2014-01-28 15:31:01 ----A---- C:\RectorDecryptor.2.6.15.0_28.01.2014_15.31.01_log.txt
    2014-01-28 15:30:04 ----A---- C:\RectorDecryptor.2.6.15.0_28.01.2014_15.30.04_log.txt
    2014-01-28 15:27:31 ----A---- C:\XoristDecryptor.2.3.24.0_28.01.2014_15.27.31_log.txt
    Надеюсь проверяли на копиях файлов?

    ++ нужен свежий лог MBAM и
    Подготовьте лог AdwCleaner
     
    Последнее редактирование: 28 янв 2014
  5. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Ну вот сейчас как раз ковыряю его тело

    Это очередная разновидность http://safezone.cc/threads/arest-fajlov-ili-novyj-shifrovalschik.18484/ (последняя была .oshit) , только ключ возможно еще накрыт и RSA
     
  6. spam17
    Оффлайн

    spam17 Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    там пинг сервака ping.exe 192.168.1.25 -t
    --- Объединённое сообщение, 30 янв 2014, Дата первоначального сообщения: 30 янв 2014 ---
    Выкладываю лог AdwCleaner

    и прикрипил картинку карантина nod32
    --- Объединённое сообщение, 30 янв 2014 ---
    да проверял на копиях
     

    Вложения:

  7. spam17
    Оффлайн

    spam17 Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
     

    Вложения:

  8. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Запустите повторное сканирование МВАМ, отметьте и удалите все, кроме
    Код (Text):
    C:\WINDOWS\system32\hidcon.exe (Trojan.Dropped) -> Действие не было предпринято.
    Пришлите новый лог МВАМ
     
  9. spam17
    Оффлайн

    spam17 Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
     

    Вложения:

  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.453
    Симпатии:
    13.952
  11. spam17
    Оффлайн

    spam17 Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    есть гарантия что за 200 баксов дадут дешефратор???
     
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.453
    Симпатии:
    13.952
    Никакой гарантии. Хотя скорее всего дешифратор выдадут...
     
  13. spam17
    Оффлайн

    spam17 Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Дешифратор поможет на сто% ? И если поможет я могу этот дешифратор раздать другим бедолагам? Или у всех дешифратор разный?
    --- Объединённое сообщение, 5 фев 2014 ---
    Кстати жулики один файл мне расшифровали, бесплатно) так мол что не врут.
     
    Последнее редактирование: 5 фев 2014
  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.453
    Симпатии:
    13.952
    Все зависит от механизма шифрования. Если ключи привязаны к железу, то нет, а если к ID, то поможет всем с id bbs882467....
     
Статус темы:
Закрыта.

Поделиться этой страницей