-
Junior Member
- Вес репутации
- 43
Вирус "Весёлый роджер" зашифровал файлы и удалился....
Orig and code.zipKL_syscure.zipMessage.ziphijackthis.zipДоброго времени суток!
Принесли машину с текстом, посреди рабочего стола: "ПЯТНАДЦАТЬ ЧЕЛОВЕК НА СУНДУК МЕРТВЕЦА!..." и всё такое.
- Просканил Зайцевым, тот вредоноса не нашёл, но убрал блокировку реестра, нарушение файловых ассоциаций, блокировку диспетчера задач.
- Вручную потёр файлы "ДЕШИФРАТОР.txt" в каждой папке с изображениями и текстами.
- Проверил ключи автозапуска в реестре (HKLM, HKCU), ничего "левого", помимо всяких "Майлгардов" не нашёл
- Обновил базы Вэбу (на 30.07)
Теперь запуск нормален, но на всех текстовых и графических файлах к расширению добавилось .SSQFG.
Немного поюзал форумы, похоже для декодирования потребуется исходный код экзешника вируса.
- Запустил Restorator XP, поискал любые удалённые экзешники, ничего такого не нашёл. Так же в удалённых не числятся файлы из числа кодированых.
Согласно правилам, сделал логи в АВЗ и HiJackThis. Заодно присылаю исходный текст угрозы в TXT и две версии файла - зашифрованую и исходную. На всех архивах пароль virus
Очень надеюсь на Вашу помощь, т. к. информации просто море!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) ted77, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Сообщение от
ted77
поискал любые удалённые экзешники
В одной из версий шифровальщика тело имело расширение .jpg
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 43
Поискал в удалённых Джипегах, нашёл картинку с пиратами и таким же сообщением, что и в текстовом файле - может это он?
P.S. Его размер 203Кб. Не могу его прикрепить, т. к. израсходовал почти весь лимит на размер загрузки. Может уже не нужны некоторые файлы из тех, что я уже прислал?
-
ted77, вирусы прикреплять к сообщению строго запрещено.
Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
-
-
Размер файла шифровальщика на тот момент быть чуть больше 2 Мб
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 43
Картинку с пиратами Вам отослал. пароль на архив virus
Поискал ещё раз в удалённых, примерно 2мегабайтных файлов больше нет, только экзешники из папки \system32\dllcashe Это уже я удалял. Но названия у них вполне читаемы, а не цифробуквенные кракозябры. Есть несколько Джипегов подобного размера, но они из тех папок, где все фотки и названия как с фотоаппарата, наверное это хозяева когда-то сами удаляли.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-