-
Junior Member
- Вес репутации
- 33
Помогите расшифровать файлы. [Trojan.Win32.Fsysna.bsii
]
Здравствуйте.
Сегодня я стал жертвой вируса. Вирус заменил фоновый рисунок на красную надпись "Внимание! Все важные данные на всех дисках были зашифрованы. Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков.". На рабочем столе появилось несколько .txt-документов с контактами злоумышленников, но главная проблема в том, что некоторые файлы (.mp3, .docx, .png и другие) поменяли расширение на ".xtbl". Имена повреждённых файлов превратились в бессмысленный набор цифр и латинских букв (образцы зашифрованных файлов здесь https://yadi.sk/d/T8P8r0dIftHw2). Dr. Web Cureit обнаружил и ликвидировал следующие вирусы: Program.Unwanted.274, Adware.Downware.10852, Trojan.InstallCore.479. Файлы остались зашифрованы. Прошу Вас помочь мне восстановить файлы.
Прилагаю логи AVZ и HijackThis: virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log
Очень надеюсь на Вашу помощь. С уважением, АрчАпачи.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) ArchApachi, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\NO(VIAD\appdata\roaming\ssleas.exe','');
QuarantineFile('C:\Users\NO(VIAD\AppData\Local\Temp\start.exe','');
QuarantineFile('C:\Users\NO(VIAD\AppData\Roaming\cppredistx86.exe','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
DeleteFile('C:\Users\NO(VIAD\AppData\Local\Amigo\Application\amigo.exe','32');
DeleteFile('C:\Users\NO(VIAD\AppData\Local\Amigo\Application\ok.exe','32');
DeleteFile('C:\Users\NO(VIAD\AppData\Local\Amigo\Application\vk.exe','32');
DeleteFile('C:\Users\NO(VIAD\AppData\Roaming\cppredistx86.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
DeleteFile('C:\Users\NO(VIAD\AppData\Local\Temp\start.exe','32');
DeleteFile('C:\Windows\system32\Tasks\WdfHG','64');
DeleteFile('C:\Users\NO(VIAD\appdata\roaming\ssleas.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением темы.
Сделайте новые логи по правилам
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 33
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 33
Готово, вот лог полного сканирования MBAM: 001.txt
-
Удалите в МВАМ все, кроме
Код:
RiskWare.Tool.CK, C:\Users\NO(VIAD\Desktop\????N??°N??°\Guitar Pro 5 + N??°?±N?\Guitar.Pro.v5.2\Guitarpro 5.1 keygen.exe, , [10dfbdad2664a690918b4753c939659b],
RiskWare.Tool.CK, C:\Users\NO(VIAD\Desktop\???°N??»?µ?????µ ?????±N?N?\Guitar.Pro.v5.2\Guitarpro 5.1 keygen.exe, , [e8073d2dd8b2d95dfa2238622dd5b848],
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 33
Сделал. Угрозы устранены, компьютер перезагрузился. Что дальше?
-
Удалите МВАМ
С расшифровкой не поможем.
Как вариант, http://virusinfo.info/showthread.php?t=156188
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 33
Где-то в другом месте мне могут помочь расшифровать файлы? Имеется четыре особо важных для меня .docx-файла общим размером около 200 килобайт, которые мне бы крайне не хотелось потерять.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\programdata\windows\csrss.exe - Trojan.Win32.Fsysna.bsii ( AVAST4: Win32:Malware-gen )
-