Решена Вирус, зашифрованы документы и картинки

Тема в разделе "Лечение компьютерных вирусов", создана пользователем yap, 3 июн 2013.

Статус темы:
Закрыта.
  1. yap
    Оффлайн

    yap Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    Ребята, спасайте.
    Пошли по ссылке, поймали вирус. Теперь все файлы-картинки и документы зашифрованы.
    Во вложениях:
    "Отчет по бензину.zip" - зашифрованный файл в архиве.
    "postanovlenie.zip" - сам вирус в архиве.
    Пока никакие средства расшифровать не могут - ни касперского, ни дрвебовские.
    Помогите расшифровать?
    Спасибо.
     

    Вложения:

  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.094
    Симпатии:
    194
    Приветствую yap, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Попробуем помочь. Отправил в вирлаб, пусть посмотрят.

    Добавлено через 3 минуты 31 секунду
    Как вредонос деньги вымогал? Можно скриншет?
     
    1 человеку нравится это.
  4. yap
    Оффлайн

    yap Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    Просили на электронную почту отправить запрос.
    Плюс фоновая картинка на рабочем столе была заменена на текст.
    Точный текст не помню. Что-то вроде от школьника, которому мама не даёт на завтрак, и который просит написать на электронную почту, чтобы он восстановил файлы.
     
  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    И таки подготовьте логи. Возможно в системе еще живет вредонос.
     
  6. yap
    Оффлайн

    yap Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    Скриншот, к сожалению, уже не сделать, компьютер вылечен, но файлы зашифрованы :(
     
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Какую? Чем больше информации мы получим, тем больше шансов помочь.
     
  8. yap
    Оффлайн

    yap Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    Сейчас попробую, конечно, логи подготовить. Мало ли...
     
  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Где лечили?
     
  10. yap
    Оффлайн

    yap Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    Лечили Авирой, нет уверенности, что всё удалено, поэтому сейчас пробегусь AVZ-ом.
     
  11. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Письмо с трояном сохранилось?
     
  12. yap
    Оффлайн

    yap Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    Так, вот логи.
    В самом письме трояна не было, была только ссылка на файл, который прикреплён в начальном сообщении.
    Полная ссылка вот:
     

    Вложения:

    • info.txt
      Размер файла:
      31,5 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      14,4 КБ
      Просмотров:
      2
    • virusinfo_syscheck.zip
      Размер файла:
      27,3 КБ
      Просмотров:
      1
    • virusinfo_syscure.zip
      Размер файла:
      27,2 КБ
      Просмотров:
      3
    Последнее редактирование модератором: 3 июн 2013
  13. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Нужна копия письма. Она сохранилась?
     
  14. yap
    Оффлайн

    yap Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    Вот копия письма во вложении.
     

    Вложения:

  15. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Нужны копии файлов
    Код (Text):
    2013-06-03 11:04:37 ----A---- C:\WINDOWS\ntbtlog.txt
    2013-06-03 10:29:34 ----A---- C:\WINDOWS\mmm.bat
    Запакуйте их в архив с паролем virus. И крепите к теме.
     
  16. yap
    Оффлайн

    yap Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    Архив во вложении.
     

    Вложения:

    • vir.zip
      Размер файла:
      3,2 КБ
      Просмотров:
      1
  17. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Ответ от drweb:
    Добавлено через 1 минуту 28 секунд
    Выполнять после лечения. Скоро будет скрипт.
     
  18. yap
    Оффлайн

    yap Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    То есть, лечить полностью можно начинать? Ничего больше не понадобится?
     
  19. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Почистим пока систему.
    Закройте все программы, временно выгрузите антивирус, фаерволл и прочее защитное ПО.

    Выполните скрипт в AVZ (Файл - Выполнить скрипт):
    Код (Text):
    begin
     ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
      if not IsWOW64
       then
        begin
         SearchRootkit(true, true);
         SetAVZGuardStatus(True);
        end;
     QuarantineFile('c:\windows\system32\msvcrtd.exe','');
     QuarantineFile('c:\windows\system32\1f.tmp','');
     QuarantineFile('C:\DOCUME~1\SEKRET~1.ITS\LOCALS~1\Temp\kwyzvc.exe','');
     QuarantineFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\codif123.dll','');
     DeleteFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\codif123.dll');
     DeleteFile('c:\windows\system32\msvcrtd.exe');
     DeleteFile('c:\windows\system32\1f.tmp');
     DeleteFile('C:\DOCUME~1\SEKRET~1.ITS\LOCALS~1\Temp\kwyzvc.exe');
     DeleteFile('C:\WINDOWS\Tasks\WindowsCheck.job');
     DelBHO('{9BBF4D32-FF94-4342-83E7-1E7793602DFA}');
     DeleteService('msupdate');
     DeleteService('MEMSWEEP2');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     ExecuteWizard('SCU',2,3,true);
     RebootWindows(true);
    end.
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    Сделайте лог HiJackThis

    Добавлено через 4 минуты 40 секунд
    Приготовьте SP3 - Пакет сетевой установки пакета обновления 3 (SP3) для ОС Windows XP
     
  20. yap
    Оффлайн

    yap Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    Письмо с архивом отправлено.
     
Статус темы:
Закрыта.

Поделиться этой страницей