Зашифрованы файлы, *.nks [HEUR:Trojan.Win32.Generic ]

[dnkov]

Сегодня утром обнаружили что файлы зашифрованы
Выявлен виновник C:\DOCUME~1\9335~1\LOCALS~1\Temp\Zi5M57ow0Gj9T4G.e xe

текст сообщения:
Внимание! Все Ваши файлы зашифрованы!
Чтобы восстановить свои файлы и получить к ним доступ,
свяжитесь с нами по email: [email protected]


У вас есть 5 попыток ввода кода. При превышении этого
количества, все данные необратимо испортятся. Будьте
внимательны при вводе кода!


virusinfo_syscure.zip
Вложение 491490
hijackthis.log
InstallLog.txt.nks.7z
SERVER_2014-08-26_11-50-22.7z

[Info_bot]

Уважаемый(ая) dnkov, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Выполните скрипт в uVS:

Код:

;uVS v3.83 BETA 16 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
breg

addsgn 9252620A156AC1CCE0AB514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 8 Trojan.Encoder.94 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\РАБОЧИЙ СТОЛ\1212.EXE
bl CFF382C7826DF5F45FAE04D38B04F36F 7168
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\РАБОЧИЙ СТОЛ\1212.EXE
zoo %SystemRoot%\TERM\SHELL.VBS
zoo %SystemRoot%\TERM\LOGOFF.BAT
delall %SystemRoot%\ASSEMBLY\NATIVEIMAGES_V2.0.50727_32\ASPNETMMCEXT\9BCFA56DFE5F8ECED9D5B1C7458C5667\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemRoot%\ASSEMBLY\NATIVEIMAGES_V2.0.50727_32\ASPNETMMCEXT\3B1B09B7FF3FD552371354A7D08D2F77\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\DEFAULT USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\TERM2\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\TERM1\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER1C\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
chklst
delvir

restart

Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над первым сообщением в теме.

Сделайте новый лог uVS.

[dnkov]

Лог SERVER_2014-08-26_16-15-59.7z

Загрузил ZOO, Скрипты shell.vbs и logoff.vbs, не вирус. Наши. Для терминала 1С

[mike 1]

Пароли от всех учетных записей и от RDP поменяйте на более стойкие.

Информация

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашим файлам.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Скачайте te94decrypt.exe и сохраните в корень диска С.

В командной строке введите:

Код:

C:\te94decrypt.exe -k 469

Внимание!!!
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет

2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. \zoo\1212.exe._2d886ea0b1d9ceb2d2ce34eee7d1fd5c1ad 5ac98 - HEUR:Trojan.Win32.Generic ( BitDefender: Generic.Malware.Sprn.907D98C4 )