Решена Вирус зашифровал файлы [Xorist]

Тема в разделе "Лечение компьютерных вирусов", создана пользователем siv21102, 3 авг 2015.

Метки:
Статус темы:
Закрыта.
  1. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    Здравствуйте, файлы зашифрованы, после расширения добавлено sa-files
     

    Вложения:

  2. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Несколько зашифрованных файлов (лучше документов MS Office) выложите в архиве на rghost.ru и пришлите ссылку

    Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
    • Распакуйте архив с утилитой в отдельную папку.
    • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

      [​IMG]
    • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    • Прикрепите этот отчет к своему следующему сообщению.
     
  3. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4

    Вложения:

    Последнее редактирование: 3 авг 2015
  4. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Что запускали перед шифрованием?
     
  5. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    Ничего, как обычно в субботу, включил его в 10 утра, работал в 1С, глядел ютуб в браузере, все. ушел не выключил его. Он сам выключается в 2 часа ночи. Пришел в понедельник и не смог зайти в систему, пароль админа был изменен. Я с помощью лайвсиди сбросил пароль, вошел в систему и первым делом увидел открытый автозапуском файл тхт Мол зашифровано свяжитесь с нами. 1 августа еще все нормально было. Не могу понять что могло повлиять. У меня в сети еще пара соседей, может с них что прилетело.
    --- Объединённое сообщение, 4 авг 2015, Дата первоначального сообщения: 4 авг 2015 ---
    Везде созданы текстовые файлы с таким содержанием
    Внимание! Все Ваши файлы зашифрованы!
    Чтобы восстановить свои файлы и получить к ним доступ,
    свяжитесь с нами по email: sa-file@ro.ru

    У вас есть 5 попыток ввода кода. При превышении этого
    количества, все данные необратимо испортятся. Будьте
    внимательны при вводе кода!

    И код некуда вводить, хотя у меня его и нет)
     
    Последнее редактирование модератором: 4 авг 2015
  6. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    А у них зашифрованные файлы есть? Если так, то нужно и у них проверить компьютеры.

    Это дешифруется, но при наличии самого файла шифровальщика
     
  7. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    Как быть дальше, где он шифровальщик? он на моей системе находиться? Можно это исправить?
    Я не могу понять как при каких обстоятельствах эта зараза проникла в мой комп. я ничего не устанавливал из писем ничего не запускал.
     
  8. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Я же написал, что сначала у соседей поспрошайте, не появилось ли у них зашифрованных файлов. Этот шифровальщик может распространяться и кряках, патчах, модах...
     
  9. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    они не жалуются и на ноуте моем который тоже в локалке все отлично, признаков не выявлено.
     
  10. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
  11. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    Готово
     

    Вложения:

    • malware.txt
      Размер файла:
      10,9 КБ
      Просмотров:
      2
  12. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Удалите в МВАМ только
    Код (Text):
    Разделы реестра: 8
    Trojan.Proxy, HKLM\SOFTWARE\CLASSES\CLSID\{C379EAD1-CB34-4B09-AF6B-7E587F8BCD80}, , [fad79074008b81b55d5069230ef46b95],
    Trojan.Proxy, HKLM\SOFTWARE\CLASSES\blank.DynamicNS, , [fad79074008b81b55d5069230ef46b95],
    PUP.Optional.TorrentSearch.A, HKLM\SOFTWARE\Torrent Search, , [c50c2cd8ddaeca6c3c34435aa0649868],
    PUP.Optional.VoPackage.A, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\VOPackage, , [5c75af556e1de650cb88b2e634d06a96],
    PUP.Optional.MintCast.A, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\mintcastnetworks, , [48897f851972e452e7fd17ffaf54718f],
    PUP.Optional.TorrentSearch.A, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\Update Service for Torrent Search, , [09c86b9948438babb6aef22f10f3dd23],
    PUP.Optional.InstallCore.C, HKU\S-1-5-21-2899179222-644460223-2397393279-1000\SOFTWARE\InstallCore, , [dff27d87216ae1553369663dea1a6d93],
    PUP.Optional.TorrentSearch.A, HKU\S-1-5-21-2899179222-644460223-2397393279-1000\SOFTWARE\Torrent Search, , [8849dd27711a46f098d7207d966e946c],

    Значения реестра: 1
    PUP.Optional.VOPackage, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\VOPACKAGE|UninstallString, "C:\Users\1\AppData\Roaming\VOPackage\uninstall.exe", , [7061cc38e5a670c6ba8a93ac33d0768a]

    Папки: 5
    PUP.Optional.OpenCandy, C:\Users\1\AppData\Roaming\OpenCandy, , [28a9f70d90fbeb4b7de333aabe4425db],
    PUP.Optional.OpenCandy, C:\Users\1\AppData\Roaming\OpenCandy\77001E1F5C7D41FEAD2C5E1009AD5861, , [28a9f70d90fbeb4b7de333aabe4425db],
    PUP.Optional.ExtensionInstallerHelper.A, C:\Users\1\AppData\Local\Temp\extensionInstallerHelperFolder, , [11c029db484341f5d5a3b647ec166d93],
    PUP.Optional.VOPackage.A, C:\Users\1\AppData\Roaming\VOPackage, , [b8191de76c1f66d0c6420ff40af9d32d],
    PUP.Optional.VOPackage.A, C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage, , [557c5fa50c7fcf6733d6838059aa8779],

    Файлы: 53
    PUP.Optional.OpenCandy, C:\Users\1\AppData\Local\Temp\is-1792Q.tmp\OCSetupHlp.dll, , [2ba644c0f89353e3e98de68749bcd927],
    PUP.Optional.TorrentSearch.A, C:\Users\1\AppData\Local\Temp\{E46D3408-D8AE-46FB-ACEE-A5BAED2A4A52}\fast-torrent-search.exe, , [2ea3dc28c1ca1521bffd541fcc3534cc],
    PUP.Optional.TorrentSearch.SID.C, C:\Users\1\AppData\Local\Temp\extensionInstallerHelperFolder\Chromium.dll, , [0cc55da7e6a57bbb504eb9c123e2d42c],
    PUP.Optional.TorrentSearch.SID.C, C:\Users\1\AppData\Local\Temp\extensionInstallerHelperFolder\InstallerHelper.dll, , [7160a95bd4b780b6613d7901ec1935cb],
    PUP.Optional.TorrentSearch.SID.C, C:\Users\1\AppData\Local\Temp\extensionInstallerHelperFolder\KompexSQLiteWrapper.dll, , [30a119eb6a21b97d7d21cfaba164837d],
    RiskWare.Tool.HCK, C:\$Recycle.Bin\S-1-5-21-2899179222-644460223-2397393279-1000\$R4ECX45\UniversalTermsrvPatch_20090425\UniversalTermsrvPatch-x64.exe, , [05cc669e3853f24409123e5a55ac659b],
    RiskWare.Tool.HCK, C:\$Recycle.Bin\S-1-5-21-2899179222-644460223-2397393279-1000\$R4ECX45\UniversalTermsrvPatch_20090425\UniversalTermsrvPatch-x86.exe, , [60717f85d2b9a98dd8434a4e2cd5e818],
    PUP.Optional.OpenCandy, C:\Users\1\AppData\Roaming\OpenCandy\77001E1F5C7D41FEAD2C5E1009AD5861\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt, , [28a9f70d90fbeb4b7de333aabe4425db],
    PUP.Optional.ExtensionInstallerHelper.A, C:\Users\1\AppData\Local\Temp\extensionInstallerHelperFolder\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt, , [11c029db484341f5d5a3b647ec166d93],
    PUP.Optional.VOPackage.A, C:\Users\1\AppData\Roaming\VOPackage\trzB83D.tmp, , [b8191de76c1f66d0c6420ff40af9d32d],
    PUP.Optional.VOPackage.A, C:\Users\1\AppData\Roaming\VOPackage\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt, , [b8191de76c1f66d0c6420ff40af9d32d],
    PUP.Optional.VOPackage.A, C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage\Configure.lnk.sa-file, , [557c5fa50c7fcf6733d6838059aa8779],
    PUP.Optional.VOPackage.A, C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt, , [557c5fa50c7fcf6733d6838059aa8779],
     
  13. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    Удалил, вот новый лог
     

    Вложения:

  14. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Скачайте Farbar Recovery Scan Tool [​IMG] и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
      [​IMG]
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
     
  15. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    готово
     

    Вложения:

    • Addition.txt
      Размер файла:
      38 КБ
      Просмотров:
      2
  16. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Лог FRST.txt не прислали
     
  17. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    ой
    --- Объединённое сообщение, 4 авг 2015, Дата первоначального сообщения: 4 авг 2015 ---
    беру файлик картинки переименовываю, убираю лишнее из расширения и он запускается.
     

    Вложения:

    • FRST.txt
      Размер файла:
      106 КБ
      Просмотров:
      3
    Последнее редактирование: 4 авг 2015
  18. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Да, печально, но и здесь намека на шифратора нет

    А не найдется ли у Вас какого-либо оригинала одного из зашифрованных файлов значительного размера (например, картинки jpg) ?
     
  19. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    http://rghost.ru/6KGMGPSjL

    я в субботу, по удаленке, работал из дома. Но на домашнем тоже все хорошо.

    у меня есть постоянный IP, его использовал для подключения.

    Ума не приложу как мог заразиться не пойму, хочеться узнать как, также сильно как и исправить.

    ВОт побольше размер http://rghost.ru/7XFZygGRT
     
    Последнее редактирование: 4 авг 2015
  20. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Я просил незашифрованный оригинал

    А пароль доступа небось простой до невозможности. В логах сервера посмотреть можно, что запускалось во время Вашего отсутствия?
     
    Kиpилл нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей