1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Закрыто HEUR:Trojan.Win32.Generic дешифровка файлов

Тема в разделе "Лечение компьютерных вирусов", создана пользователем D'Dragon, 11 сен 2013.

Статус темы:
Закрыта.
  1. D'Dragon
    Оффлайн

    D'Dragon Эксперт клуба THG Команда форума Модератор

    Сообщения:
    78
    Симпатии:
    69
    Баллы:
    58
    Вирус судя по Кассперскому HEUR:Trojan.Win32.Generic зашифровал и переименовал расширение всех doc\xls\jpg файлов, нужен дешефратор.

    Примеры файлов до и после шифровки (расширение +sos@ausi.com_ZQ512)
    http://into.rusfolder.net/files/37986821

    Картинка вымогателя с отсылкой на мыло:
    [​IMG]

    P.S. Основные файлы вируса были прописаны в Автозагрузки в главном меню пользователя. Др файлов не было, если нужно могу сделать логи AVZ, но не думаю что это сильно поможет...
     
    Последнее редактирование модератором: 11 сен 2013
  2. Инфо.Бот

    Ботан Злостный спам-бот

    Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    984
    Симпатии:
    194
    Баллы:
    293
    Приветствую D'Dragon, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  4. D'Dragon
    Оффлайн

    D'Dragon Эксперт клуба THG Команда форума Модератор

    Сообщения:
    78
    Симпатии:
    69
    Баллы:
    58
    Ботан, на данный момент нет доступа к тому ПК, если логи чем то помогут могу сделать и выложить их завтра...
     
  5. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.771
    Симпатии:
    5.446
    Баллы:
    848
    http://www.thg.ru/forum/showthread.php?p=1861493 - там тоже уберите ссылку на вирус и не выкладывайте его в своих постах, а то могут ведь скачать и заразиться . Тем более у вас архив без пароля. Логи нужны в любом случае, так как возможно вы ещё ещё не все файлы от вируса удалили.

    + не знаю, чего там вам сейчас насоветуют на других форумах, так что хочу заранее предупредить, что бездумно перебирая утилиты для дешифровки вы рискуете потерять свои файлы окончательно.
     
  6. D'Dragon
    Оффлайн

    D'Dragon Эксперт клуба THG Команда форума Модератор

    Сообщения:
    78
    Симпатии:
    69
    Баллы:
    58
    regist, спасибо за ответ, ссылку убрал, чтобы не заразиться я расширения файла сменил, впрочем подстраховаться не мешает...
    Хорошо логи завтра постараюсь сделать, повторной порчи файлов не было, +ПК просканил 3 антивирусами (Avira, Dr.Web, Kaspersky) вирус увидел только Kaspersky...
    Это понятно, все шифрованные файлы дополнительно залиты в архив, взяты копии некоторых файлов на них и буду проводить эксперименты причём на другом ПК их порча роли не играет...

    Если найду подходящий дешифратор тогда и буду расшифровкой заниматься, но копии всё равно на время оставлю...

    Так что с сохранностью инфы проблем быть не должно, мне сейчас важно выудить эту инфу...
     
  7. D'Dragon
    Оффлайн

    D'Dragon Эксперт клуба THG Команда форума Модератор

    Сообщения:
    78
    Симпатии:
    69
    Баллы:
    58
    Сделал логи AVZ\HiJackThis, прикрепляю:
     

    Вложения:

  8. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.771
    Симпатии:
    5.446
    Баллы:
    848
    Профиксите в HijackThis

    Код (Text):
    R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
     
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
    ---------------------
    дешифратором никто не поделился.

    ЗЫ, утилиты генератора кодов не существует, вебовцы сами пароли брутфорсом подбирают, но только для своих клиентов. Так что единственный выход ждать пока кто-то купить дешифратор и поделится. Либо если есть лицензия на доктора можете обратиться в их . тех. поддержку.
     
  9. D'Dragon
    Оффлайн

    D'Dragon Эксперт клуба THG Команда форума Модератор

    Сообщения:
    78
    Симпатии:
    69
    Баллы:
    58
    regist, спасибо сделаю, ПК не под рукой к сожалению так что завтра что нужно выложу...

    Уже ищу на счёт лицензии, у меня к сожалению нет(

    Добавлено через 18 минут 45 секунд
    Нашёл на форуме drweb тему с указанием моего вируса-шифровальщика:
    http://forum.drweb.com/index.php?showtopic=315142

    Дополнительное расширение *.sos@ausi.com_ZQxxx, контактный email - sos@ausi.com

    Информация по трояну: Trojan.Encoder.293 - видоизмененный Trojan.Encoder.102, который сильнее портит файлы.

    Он самый, вопрос что делать дальше учитывая что у меня нет ключа на drweb...
     
  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.771
    Симпатии:
    5.446
    Баллы:
    848
    D'Dragon, примерно тоже самое я написал выше

    так что остаётся только ждать и надеяться, что кто-то купит дешифратор и поделится на форумах им. Правда самостоятельно применять этот дешифратор не стоит, так как существует риск потерять всё.
     
  11. D'Dragon
    Оффлайн

    D'Dragon Эксперт клуба THG Команда форума Модератор

    Сообщения:
    78
    Симпатии:
    69
    Баллы:
    58
    regist, вот лог Malwarebytes' Anti-Malware.
     

    Вложения:

  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.090
    Симпатии:
    14.377
    Баллы:
    2.193
    В MBAM можно удалить только:
    Код (Text):
    Обнаруженные ключи в реестре:  2
    HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
     
  13. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.591
    Симпатии:
    3.132
    Баллы:
    583
    Не в этом случае. Здесь RSA, обрамленный двумя XOR
     
  14. D'Dragon
    Оффлайн

    D'Dragon Эксперт клуба THG Команда форума Модератор

    Сообщения:
    78
    Симпатии:
    69
    Баллы:
    58
    akoK, thyrex, то есть пока совет тот же, искать ключ на Drweb и ждать не всплывёт ли дешифровщик на форуме?

    Может ещё что-то можно предпринять?
     
  15. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.591
    Симпатии:
    3.132
    Баллы:
    583
    Без оригинального дешифратора не обойтись
     
  16. D'Dragon
    Оффлайн

    D'Dragon Эксперт клуба THG Команда форума Модератор

    Сообщения:
    78
    Симпатии:
    69
    Баллы:
    58
    Хорошо перефразирую вопрос...

    Где можно найти оригинальный дешифратор, кроме варианта "выкупа" у злоумышленников?
     
  17. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.771
    Симпатии:
    5.446
    Баллы:
    848
    нигде.
     
Статус темы:
Закрыта.

Поделиться этой страницей