Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Вирус шифрует файлы xls (заявка № 160972)

  1. #1
    Junior Member Репутация
    Регистрация
    05.06.2014
    Сообщений
    20
    Вес репутации
    36

    Вирус шифрует файлы xls

    Вирус шифрует файлы xls
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) kalan43, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Это понравилось:


  5. #3
    Junior Member Репутация
    Регистрация
    05.06.2014
    Сообщений
    20
    Вес репутации
    36

    Логи AVZ

    лог авз
    Вложения Вложения

  6. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Перечитайте правила и пришлите правильные логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. Это понравилось:


  8. #5
    Junior Member Репутация
    Регистрация
    05.06.2014
    Сообщений
    20
    Вес репутации
    36

    Правильные логи AVZ

    Правильные логи AVZ
    BGH4449203.zip - в первом сообщении это сам вирус который зашифровал файлы сделав их одинакового размера
    Вложения Вложения
    Последний раз редактировалось kalan43; 06.06.2014 в 10:36.

  9. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выполните скрипт в AVZ:
    Код:
    begin
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Geqnqt','command');
    ExecuteWizard('TSW',2,2,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

    Для расшифровки пробуйте RannohDecryptor - если есть хотя бы одна пара зашифрованный/исходный файлы.
    WBR,
    Vadim

  10. Это понравилось:


  11. #7
    Junior Member Репутация
    Регистрация
    05.06.2014
    Сообщений
    20
    Вес репутации
    36
    выполнил код присылаю 2ой скрипт
    Вложения Вложения

  12. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
    WBR,
    Vadim

  13. Это понравилось:


  14. #9
    Junior Member Репутация
    Регистрация
    05.06.2014
    Сообщений
    20
    Вес репутации
    36

    полный образ автозапуска uVS

    полный образ автозапуска uVS
    Вложения Вложения

  15. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.82.8 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    zoo %SystemDrive%\PROGRAM FILES\РОССИНФОТЕХ\ИНФОРМАЦИОННОЕ ПОСЛАНИЕ\WINRAR.EXE
    zoo %SystemDrive%\PROGRAM FILES\WINRAR_UPDATE\WINRAR.EXE
    ; C:\PROGRAM FILES\РОССИНФОТЕХ\ИНФОРМАЦИОННОЕ ПОСЛАНИЕ\WINRAR.EXE
    addsgn 92DDA519974B7D8D0A032D5B3DF9E486E369ECE3BFFA5E7806D6BCBC11D65719AAF240939ED4A8C12BC18477461649EB4095E93355EB792DFCF4913AC747225A 16 Win32/Kryptik.CDCA [ESET-NOD32]
    
    ; C:\PROGRAM FILES\WINRAR_UPDATE\WINRAR.EXE
    ; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\МОИ ДОКУМЕНТЫ\ЗАГРУЗКИ\BGH4449203(1)\BGH4449203.SCR
    addsgn A7679B19919AF4FA5896AE59403AEFFA9D42A8B4891235647B3C4EA9105E334CAA1548427EDDDF49A09225D7CE544912990C178DDECFF0A46F772F3D66DAA531 16 Trojan.Encoder.567 [DrWeb]
    
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\МОИ ДОКУМЕНТЫ\ЗАГРУЗКИ\BGH4449203(1)\BGH4449203.SCR
    zoo %SystemDrive%\PROGRAM FILES\OPERA\PROGRAM\PLUGINS\ИНФОРМАЦИЯ_О_ДЕШИФРОВКЕ_ФАЙЛОВ.TXT
    delref %Sys32%\GITNTIEP.DLL
    ; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 2 ДЛЯ BGH4449203(1).ZIP\BGH4449203.SCR
    ; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 4 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR
    ; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 5 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR
    ; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 6 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR
    ; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 7 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR
    ; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 11 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR
    ; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 12 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR
    ; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 13 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR
    ; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 14 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR
    ; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 15 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR
    ; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 16 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR
    chklst
    delvir
    
    exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF} /qn /quiet
    deltmp
    czoo
    restart
    Компьютер перезагрузится.

    information

    Уведомление

    Данный скрипт удалит все устаревшие версии Java, т. к. в них имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
    Скачайте и установите Java 7 Update 60. Уязвимости Java являются частой причиной взлома и заражения системы и поэтому это потенциальная дыра в безопасности.




    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Сделайте новый полный образ автозапуска uVS.

    - - - Добавлено - - -

    Пара замечаний вдогонку.

    1. Шифровальщик упорно запускали вручную множество раз, несмотря на совершенно невнятное имя файла. Слово "РОССИНФОТЕХ" так магически действует?

    2. А Касперский (не Евгений Валентинович, а антивирус) куда смотрел? В базе у него этот экземпляр есть. Он обновлялся, был вообще активен? Судя по логу AVZ:
    Обнаружен статический маршрут к сайту производителя антивируса
    мог и не обновляться. Хотя, сервера обновления доступны.
    WBR,
    Vadim

  16. Это понравилось:


  17. #11
    Junior Member Репутация
    Регистрация
    05.06.2014
    Сообщений
    20
    Вес репутации
    36
    файлы открываются как ироглифы, надпись исчезла

  18. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Какие файлы?
    Карантин загрузите.
    WBR,
    Vadim

  19. Это понравилось:


  20. #13
    Junior Member Репутация
    Регистрация
    05.06.2014
    Сообщений
    20
    Вес репутации
    36
    файл отпрвлен но отправился только он в 7z я его еще и в зип засунул

    - - - Добавлено - - -

    новый полный образ автозапуска

    - - - Добавлено - - -

    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Какие файлы?
    Карантин загрузите.
    да файлы xls я открыть пробовал они открываются но в игроглифах
    Вложения Вложения
    Последний раз редактировалось kalan43; 06.06.2014 в 16:57.

  21. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Прокси сервер HTTP=127.0.0.1:1024 по делу прописан?

    Шифровальщик удалён. По расшифровке написал выше.
    Уберите ссылку на карантин из предыдущего сообщения.

    Установите свежую Java, ссылка выше.

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

    - - - Добавлено - - -

    Цитата Сообщение от kalan43 Посмотреть сообщение
    да файлы xls я открыть пробовал они открываются но в игроглифах
    Они зашифрованы. Шифруются не только .xls файлы, архив с шифровальщиком, который Вы вначале выкладывали, тоже был зашифрован.
    WBR,
    Vadim

  22. Это понравилось:


  23. #15
    Junior Member Репутация
    Регистрация
    05.06.2014
    Сообщений
    20
    Вес репутации
    36
    а файлы которые он зашифровал как вернуть в исходно состояние если нет зашифрованный/исходный файлов. он открывает там ироглифами а не как должно быть. То есть был у меня документ с таблицей а там щас ироглифы и хотелось бы вернуть его что для этого нужно сделать ? А по поводу антивируса его просто не было в момент заражения
    Последний раз редактировалось kalan43; 06.06.2014 в 17:56.

  24. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Без хотя бы одной пары зашифрованный/исходный не выйдет воссттановить. Попробуйте программами типа Undelete, но надежды мало.
    WBR,
    Vadim

  25. Это понравилось:


  26. #17
    Junior Member Репутация
    Регистрация
    05.06.2014
    Сообщений
    20
    Вес репутации
    36
    а если я вышлю нормальный файл его можно будет заразить этим вирусом чтобы у меня получилось 2 файла исходный и зашифрованный

  27. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Для расшифровки пробуйте RannohDecryptor
    Вряд ли поможет для последних модификаций

    Вывод: без оригинального дешифратора не обойтись
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  28. Это понравилось:


  29. #19
    Junior Member Репутация
    Регистрация
    05.06.2014
    Сообщений
    20
    Вес репутации
    36
    так к слову заразил я чистую машину этим файлом перед этим сохранив оригинальные копии попробовал программой RannohDecryptor она не расшифровала их 20 сек работает и все и останавливается. т.е у меня есть щас исходный файл и файл зашифрованный а толку ноль от этого )), походу все пропали файлы

  30. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Отсюда вывод - бэкап - универсальное средство, помогающее от шифровальщиков, аппаратных сбоев и т. п. Но настраивать резервное копирование нужно ДО появления проблем.
    WBR,
    Vadim

  31. Это понравилось:


  • Уважаемый(ая) kalan43, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 14
      Последнее сообщение: 13.02.2014, 20:30
    2. Ответов: 3
      Последнее сообщение: 05.02.2014, 22:05
    3. вирус шифрует файлы .xls, *.doc, *pdf, *.jpg
      От aeroden в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.11.2012, 18:47
    4. Вирус шифрует файлы расширение EBF
      От malmish в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 12.11.2012, 15:55
    5. Вирус шифрует файлы
      От Diklit в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.09.2012, 16:58

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01601 seconds with 20 queries