• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Зашифрованы файлы jpeg, xls, doc

Статус
В этой теме нельзя размещать новые ответы.

Kot-labot

Активный пользователь
Сообщения
8
Реакции
1
Баллы
303
Доброе утро!
Такая проблема - подцепила вирус, который при загрузке мэйла или контакта перекидывал на страницу с запросом номера телефона. После лечения вируса обнаружилось, что ВСЕ картинки, файлы excel и word зашифрованы. Пробовала утилиты для расшифровки от касперского и drweb - ничего. Вирус скорее всего тоже никуда не делся, т.к. контакт работет криво и постоянно спамит(
Очень прошу помощи, на компе много важных файлов, к которым теперь нет доступа :(
 

Вложения

Ботан

Злостный спам-бот
Сообщения
1,030
Реакции
128
Баллы
453
Приветствую Kot-labot, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Зашифрованные файлы разослал вирлабам.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ExecuteRepair(13);
RebootWindows(true);
end.
Компьютер перезагрузится.

Проверяйте доступ к контакту и меняйте пароль.

Если способ расшифровки станет доступен мы сообщим в этой теме

Добавлено через 24 минуты 48 секунд
Ответ от Dr.Web:

От кого: "Vladimir Martyanov via RT" <[email protected]>
Сегодня, 11:48
Запустите ftp://ftp.drweb.com/pub/drweb/tools/te162decrypt.exe
 

Kot-labot

Активный пользователь
Сообщения
8
Реакции
1
Баллы
303
С контактом теперь все впорядке. Спасибо большое! :thank_you2:

А с расшифровкой не вышло. Пишет, что были найдены зашифрованные файлы, но ключ расшифровки не подошёл...
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Значит ждем еще)

Добавлено через 7 часов 18 минут 25 секунд
Очередной ответ Веб-а:

Ожидайте - в ближайшее время должна выйти новая версия утилиты.
Пока поищите оригинальную копию какого-либо из зашифрованных файлов, прикрепите ее здесь
Добавлено через 55 минут 7 секунд
Скачайте новую версию утилиты:
ftp://ftp.drweb.com/pub/drweb/tools/te162decrypt.exe
Перед запуском положите рядом с ней пару файлов - зашифрованный файл и его оригинал.

Если будут проблемы, сообщите номер ошибки, выдаваемый утилитой (либо пришлите несколько нерасшифрованных файлов).
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,839
Реакции
2,565
Баллы
593
1. Скачайте http://support.kaspersky.ru/faq/?qid=208638517
2. Скопируйте зашифрованные файлы в отдельную папку
3. Запустите так из командной строки
Код:
RectorDecryptor.exe -hanarp "a367cef249d821ee2ac9c3a03fff27363c7cdb8e7629155028dлe28f3e3d4cfba367cef249d821ee2ac9c3a03fff27363c7c"
 

Kot-labot

Активный пользователь
Сообщения
8
Реакции
1
Баллы
303
ftp://ftp.drweb.com/pub/drweb/tools/te162decrypt.exe все расшифровал! :yess:
Спасибо вам большое, товарищи. Это так здорово, что есть такие умные люди как вы, котрые безвозмездно спасают таких не очень умных как я!:good2:

Ещё такой вопрос - не подскажете, как быстро удалить все зашифрованные файлы? Или вручную чистить?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Вручную, копии не удалялись по причине возможной неудачи расшифровки.

Давайте еще так проверимся:

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 

Kot-labot

Активный пользователь
Сообщения
8
Реакции
1
Баллы
303
ёпрст, случайно установила именно пробную. При удалении и установки заново - так она и остается. Это очень нехорошо, или неважно?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Неважно, нам только проверится и удалить.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
Удалите в МВАМ эту строку
C:\Documents and Settings\User\Application Data\Microsoft\taskhost.exe (Backdoor.Buterat) -> Действие не было предпринято.
Если сообщения Security Center заблокировали не сами, тогда удалите и эти строки
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
 

Kot-labot

Активный пользователь
Сообщения
8
Реакции
1
Баллы
303
Строку C:\Documents and Settings\User\Application Data\Microsoft\taskhost.exe удалила и перезагрузилась. Остальные не трогала, т.к. сама до этого отключала microsoft security essentials.

Кстати, после перезагрузки, когда открыла оперу mbam опять обнаружил что-то нехорошее - RiskWare.Tool.ck File C:Windows\KMService.exe. Вопрос - это оставить в карантине и успокоиться?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
  • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
  • Прикрепите файл к следующему сообщению.
Подробнее читайте в руководстве.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу