Вирус "Весёлый роджер" зашифровал файлы и удалился....

**ted77** · 18.08.2012, 22:38

Orig and code.zip KL_syscure.zip Message.zip hijackthis.zipДоброго времени суток!
Принесли машину с текстом, посреди рабочего стола: "ПЯТНАДЦАТЬ ЧЕЛОВЕК НА СУНДУК МЕРТВЕЦА!..." и всё такое.
- Просканил Зайцевым, тот вредоноса не нашёл, но убрал блокировку реестра, нарушение файловых ассоциаций, блокировку диспетчера задач.
- Вручную потёр файлы "ДЕШИФРАТОР.txt" в каждой папке с изображениями и текстами.
- Проверил ключи автозапуска в реестре (HKLM, HKCU), ничего "левого", помимо всяких "Майлгардов" не нашёл
- Обновил базы Вэбу (на 30.07)
Теперь запуск нормален, но на всех текстовых и графических файлах к расширению добавилось .SSQFG.
Немного поюзал форумы, похоже для декодирования потребуется исходный код экзешника вируса.
- Запустил Restorator XP, поискал любые удалённые экзешники, ничего такого не нашёл. Так же в удалённых не числятся файлы из числа кодированых.

Согласно правилам, сделал логи в АВЗ и HiJackThis. Заодно присылаю исходный текст угрозы в TXT и две версии файла - зашифрованую и исходную. На всех архивах пароль virus

Очень надеюсь на Вашу помощь, т. к. информации просто море!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 18.08.2012, 22:39

Уважаемый(ая) ted77, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 19.08.2012, 13:49

Сообщение от ted77

поискал любые удалённые экзешники

В одной из версий шифровальщика тело имело расширение .jpg

**ted77** · 19.08.2012, 22:22

Поискал в удалённых Джипегах, нашёл картинку с пиратами и таким же сообщением, что и в текстовом файле - может это он?

P.S. Его размер 203Кб. Не могу его прикрепить, т. к. израсходовал почти весь лимит на размер загрузки. Может уже не нужны некоторые файлы из тех, что я уже прислал?

**regist** · 19.08.2012, 22:33

ted77, вирусы прикреплять к сообщению строго запрещено.

Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

**thyrex** · 19.08.2012, 23:30

Размер файла шифровальщика на тот момент быть чуть больше 2 Мб

**ted77** · 20.08.2012, 14:02

Картинку с пиратами Вам отослал. пароль на архив virus
Поискал ещё раз в удалённых, примерно 2мегабайтных файлов больше нет, только экзешники из папки \system32\dllcashe Это уже я удалял. Но названия у них вполне читаемы, а не цифробуквенные кракозябры. Есть несколько Джипегов подобного размера, но они из тех папок, где все фотки и названия как с фотоаппарата, наверное это хозяева когда-то сами удаляли.

**CyberHelper** · 20.08.2012, 14:12

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

Вирус "Весёлый роджер" зашифровал файлы и удалился.... (заявка № 123676)

Опции темы