-
Junior Member (OID)
- Вес репутации
- 38
Вирус сменил расширение файлов
Неизвестным вирусом ко всем документам было добавлено расширение "[email protected]" и файлы, предположительно, были зашифрованы.
Антивирусы Kaspersky и DrWeb вредоносных программ не обнаружили.
В архиве "файлы.zip" оригинальный и зашифрованный файл.
Логи AVZ и HijackThis прилагаю
файлы.zip
virusinfo_syscheck.zip
hijackthis.log
virusinfo_syscure.zip
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Демин Максим, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
RMS - Remote Manipulator System сами устанавливали?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member (OID)
- Вес репутации
- 38
Да, для тим вьювера. И что интересно, обычно в тексте файла "как расшифровать файлы" содержится инфа для связи с вымогателем а в моем случае лишь "для расшифровки файлов отправьте смс на номер хххх с текстом уууу. У вас есть n попыток ввода. Такое ощущение, что вирь свое черное дело до конца сделать не усел и заразил только один локальный диск из двух. На втором поработал лишь над парой папок хотя там документов ни чуть не меньше...
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member (OID)
- Вес репутации
- 38
Пробовал все 3 декриптора от каперского и xorist и rector и rachni. Все они как сговорились заявляют что файлы не зашифрованы и не заражены (грешным делом поменял расширение у пары файлов на исходное, файл естественно не открылся). Если бы знать точное название Trojan.Encryptor (полагаю это был вирь именно из этого семейства) можно было бы прогнать утилитами от DrWeb...
-
Junior Member (OID)
- Вес репутации
- 38
Оказался Trojan.Encoder.94. Расшифровывается при помощи утилиты от DrWeb
ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe
Запускал с ключем -K 403. Т.е. если te94decrypt лежит в корне диска C:\ то запускаем командную строку и пишем C:\te94decrypt.exe –k 403 далее Enter. Правда ключ индивидуален и может не подойти. В этом случае принцип работы http://aitishnic.blogspot.ru/2012/03/blog-post.html?m=1 Удачи в лечении зловреда