[email protected]_ZA174 [Trojan.Win32.VB.cjut ]

[Filou]

Заразился [email protected]_ZA174

Файлы прилагаю.

h__p://rusfolder.com/38652186

h__p://rusfolder.com/38652187

h__p://rusfolder.com/38652189

Есть шансы на расшифровку?

P.S. Как заразился так и не понял. Вроде ничего подозрительного не получал по почте, не лазил нигде...
Комп начал тормозить, а потом на раб. столе файлы зашифровались...

[Info_bot]

Уважаемый(ая) Filou, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы

Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

1. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

Код:

begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\users\d0e2~1\appdata\local\temp\3fe96.exe');
 QuarantineFile('C:\Users\Вано\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\312.exe','');
 QuarantineFile('c:\users\d0e2~1\appdata\local\temp\3fe96.exe','');
 DeleteFile('C:\Users\Вано\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\312.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\DSite.job','64');
 DeleteFile('C:\Windows\system32\Tasks\t9kw7l4fl1.job','64');
 DeleteFile('C:\Windows\Tasks\DSite.job','64');
 DeleteFile('C:\Windows\Tasks\t9kw7l4fl1.job','64');     
 DeleteFile('C:\Users\D0E2~1\AppData\Local\Temp\3fe96.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\DSite','64');
 DeleteFile('C:\Windows\system32\Tasks\t9kw7l4fl1','64');
 DeleteFile('C:\Windows\Tasks\DSite','64');
 DeleteFile('C:\Windows\Tasks\t9kw7l4fl1','64');     
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

2. Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

3. Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

O4 - Startup: 312.exe
O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra button: (no name) - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file)

4. Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

5.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

[Filou]

Выполнил все по списку. Карантин выслал.
Есть надежда расшифровать мои файлы?
Жду дальнейших указаний.

Спасибо Вам!

[mike 1]

Закройте все программы

Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

Код:

begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\Вано\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\R04SKZ8G\345[1].html','');
 QuarantineFile('C:\Users\Вано\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\R04SKZ8G\312[1].html','');
 DeleteFile('C:\Users\Вано\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\R04SKZ8G\312[1].html','32');
 DeleteFile('C:\Users\Вано\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\R04SKZ8G\345[1].html','32');        
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra button: (no name) - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file)

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[Filou]

Выполнил

[mike 1]

Логи в порядке. Дешифратором для ZA174 пока никто не поделился.

[Filou]

Cпасибо!

Буду ждать новостей. Пославлю Др. Веба

[Filou]

Как я могу сейчас найти тело вируса, для отправки в касперкийлаб?

[thyrex]

Тело шифровальщика уже известно вирлабу

[Filou]

Вы можете мне его как-нибудь предоставить?

Касперскому видимо еще не известно. Они просили прислать им его, используя платное ПО.

Здравствуйте!

Пожалуйста, попробуйте воспользоваться утилитами из статьи: http://support.kaspersky.ru/viruses/utility

Для того, чтобы попытаться расшифровать файлы требуется:

1) Тело вируса шифровальщика. Найти его можно так:

• Восстановив удалённые *.exe файлы утилитой Recuva - http://www.piriform.com/recuva (нам понадобится архив с восстановленными файлами)
• Сделав карантин утилитой Combofix - http://virusinfo.info/showthread.php...610#post493610
(после работы утилиты найдите папку C:\Qoobox\Quarantine , заархивируйте ее и пришлите нам также этот архив).

2) Несколько зашифрованных файлов в архиве.

Если найти тело вируса найти возможности нет (вирус был безвозвратно удалён, была переустановлена система), то остаётся только ждать, пока кто-либо не пришлёт тело вируса в нашу вирусную лабораторию или добровольно не приобретёт дешифратор у злоумышленников и не пришлёт его в нашу вирусную лабораторию.


315447298

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\users\\d0e2~1\\appdata\\local\\temp\\3fe96.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Kazy.113826, AVAST4: Win32:Malware-gen )
  2. c:\\users\\вано\\appdata\\local\\microsoft\\window s\\temporary internet files\\content.ie5\\r04skz8g\\312[1].html - Trojan.Win32.VB.cjut ( BitDefender: Gen:Heur.VB.Krypt.11, AVAST4: Win32:Malware-gen )
  3. c:\\users\\вано\\appdata\\roaming\\microsoft\\wind ows\\start menu\\programs\\startup\\312.exe - Trojan.Win32.VB.cjut ( BitDefender: Gen:Heur.VB.Krypt.11, AVAST4: Win32:Malware-gen )