Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Зашифровали файлы *.LOCKED [not-a-virus:NetTool.Win32.Wasppace.l ] (заявка № 169707)

  1. #1
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    38
    Вес репутации
    8

    Зашифровали файлы *.LOCKED [not-a-virus:NetTool.Win32.Wasppace.l ]

    В пятницу обнаружили что зашифровали файлы на сервере - взломали через рдп. Велась переписка с вредителями, за 3 килорубля был получен пароль, но после ввода пароля ушло расширение файла *.LOCKED, а файлы так и не открываются.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) Cmeiiiapa, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    38
    Вес репутации
    8

    Файлы до расшифровки

    Прикрепляю файлы до расшифровки

    - - - - -Добавлено - - - - -

    Файлы после расшифровки

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,244
    Вес репутации
    1022
    Здравствуйте!
    Велась переписка с вредителями, за 3 килорубля был получен пароль
    Зря кормите их у них достаточно кривые дешифраторы, которые в некоторых случаях могут и покалечить файлы.

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin    
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     TerminateProcessByName('c:\windows\srchasst\mui\wscnrfy.exe');
     TerminateProcessByName('c:\windows\system32\wmosrvse.exe');
     TerminateProcessByName('c:\windows\ehome\wmisrv.exe');
     TerminateProcessByName('c:\windows\mui\svchost.exe');
     TerminateProcessByName('c:\windows\amsql.exe');
     TerminateProcessByName('c:\windows\system32\gptsvc.exe');
     SetServiceStart('bthserv', 4);
     StopService('bthserv');
     QuarantineFile('C:\WINDOWS\system32\cmdo.vbs','');
     QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\checkupdate.exe','');
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\1\wiupdat.exe','');
     QuarantineFile('c:\windows\srchasst\mui\wscnrfy.exe','');
     QuarantineFile('c:\windows\system32\wmosrvse.exe','');
     QuarantineFile('c:\windows\ehome\wmisrv.exe','');
     QuarantineFile('c:\windows\mui\svchost.exe','');
     QuarantineFile('c:\relaytcp10\retcpsvc.exe','');
     QuarantineFile('c:\windows\amsql.exe','');
     QuarantineFile('c:\windows\system32\gptsvc.exe','');
     DeleteFile('c:\windows\system32\gptsvc.exe','32');
     DeleteFile('c:\windows\amsql.exe','32');
     DeleteFile('c:\windows\ehome\wmisrv.exe','32');
     DeleteFile('c:\windows\system32\wmosrvse.exe','32');
     DeleteFile('c:\windows\srchasst\mui\wscnrfy.exe','32');
     DeleteFile('C:\WINDOWS\mui\svchost.exe','32');
     DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\1\wiupdat.exe','32');
     DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\checkupdate.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','explorer');
     DeleteService('bthserv');        
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(9);        
    end.
    Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

    Код:
    O4 - HKCU\..\Run: [explorer] C:\DOCUME~1\9335~1\LOCALS~1\Temp\1\wiupdat.exe
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  6. #5
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    38
    Вес репутации
    8
    Логи

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,244
    Вес репутации
    1022
    А третий лог где?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  8. #7
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    38
    Вес репутации
    8
    Я его вместо карантина отправил) сорри

    - - - - -Добавлено - - - - -

    Залил и карантин

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,244
    Вес репутации
    1022
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код:
      ;uVS v3.84.1 [http://dsrt.dyndns.org]
      ;Target OS: NTv5.2
      v384c
      breg
      
      delall %SystemDrive%\DOCUMENTS AND SETTINGS\GLYAVINA\APPLICATION DATA\AZLIO\GYXYE.EXE
      delall %SystemRoot%\JAVA\TRUSTLIB\SDPS.BAT
      delall %SystemRoot%\MICROSOFT.NET\NET.AJAX.BAT
      unload %SystemRoot%\EHOME\WMISRV.EXE
      delall %SystemRoot%\EHOME\WMISRV.EXE
      delall %SystemDrive%\WINDOW5\SYSTEM32\SAFESURF.EXE
      delall %SystemDrive%\WINDOW5\SYSTEM32\SURFGUARD.EXE
      zoo %SystemRoot%\APPPATCH\RU-US\SVVHOST.EXE
      delall %SystemRoot%\APPPATCH\RU-US\SVVHOST.EXE
      zoo %SystemRoot%\APPPATCH\RU-US\WASPPACER.EXE
      delall %SystemRoot%\APPPATCH\RU-US\WASPPACER.EXE
      deldir %SystemDrive%\DOCUMENTS AND SETTINGS\GLYAVINA\APPLICATION DATA\AZLIO
      czoo
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.
    6. После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.


    Сделайте новый лог uVS.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  10. #9
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    38
    Вес репутации
    8

    новый лог


  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,244
    Вес репутации
    1022
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код:
      ;uVS v3.84.1 [http://dsrt.dyndns.org]
      ;Target OS: NTv5.2
      v384c
      breg
      
      unload %SystemRoot%\EHOME\WMISRV.EXE
      delall %SystemRoot%\EHOME\WMISRV.EXE
      delall %SystemDrive%\WINDOW5\SYSTEM32\SAFESURF.EXE
      delall %SystemDrive%\WINDOW5\SYSTEM32\SURFGUARD.EXE
      del %SystemDrive%\DOCUMENTS AND SETTINGS\TEST\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
      delall %SystemRoot%\SRCHASST\MUI\UTP.BAT
      delall %Sys32%\DHCP\DNS.BAT
      delall %Sys32%\DRIVERS\ALT.BAT
      czoo
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Перезагрузите сервер вручную.
    6. После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.


    Сделайте новый лог uVS.

    Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код:
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  12. #11
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    38
    Вес репутации
    8
    Учетка, которую (предположительно) взломали, по глупости была удалена. "Бизнесмены" прислали два шифратора и пароль

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,244
    Вес репутации
    1022
    Жалко что вы кормите этих дармоедов у нас расшифровка тоже есть. Просто выдам я ее поздней когда дочистим сервер от вирусов.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  14. #13
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    38
    Вес репутации
    8
    Мы один раз заплатили, до обращения к вам) второй шифратор они нам выслали так, когда сказали что первый не сработал.

    - - - - -Добавлено - - - - -

    Лог

    - - - - -Добавлено - - - - -

    Архива не появилось в папке

    - - - - -Добавлено - - - - -

    новый лог uvs
    http://rghost.ru/58789904

    - - - - -Добавлено - - - - -

    Лог MBAM
    http://rghost.ru/private/58791850/e3...7df63b8ce82ad6

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,244
    Вес репутации
    1022
    Удалите в MBAM все, кроме:

    Код:
    Обнаруженные файлы:
    D:\Distrib\DameWare NT Utilities 6.8.0.1\keygen.exe (Trojan.Downloader) -> Действие не было предпринято.
    D:\Distrib\Терминал под XP\TS-Free-1.1_cs.exe (PUP.Hacktool) -> Действие не было предпринято.
    D:\Users\Олег\Alcohol_120__1.9.8.7612___crack\Alcohol 120% 1.9.8.7612 + crack\Alcohol_120__v2.0.0.1331\Alcohol_120__v2.0.0.1331.exe (Trojan.Dropped) -> Действие не было предпринято.
    D:\Users\Андрей\TeamViewer 9.0.26297 Premium & Enterprise & Corporate + Portable\Patch\teamviewer.9.x.x.corporate-patch.exe (PUP.Riskware.Patcher) -> Действие не было предпринято.
    D:\Users\Андрей\TeamViewer 9.0.26297 Premium & Enterprise & Corporate + Portable\Patch\teamviewer.9.x.x.premium-patch.exe (PUP.Riskware.Patcher) -> Действие не было предпринято.
    D:\Users\Андрей\TeamViewer 9.0.26297 Premium & Enterprise & Corporate + Portable\Patch\teamviewer.9.x.x.server.enterprise-patch.exe (PUP.Riskware.Patcher) -> Действие не было предпринято.
    D:\Программы\Radmin 3.4\keymaker.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
    C:\WINDOWS\system32\srvany.exe (Trojan.Onlinegames) -> Действие не было предпринято.
    Смените все пароли.

    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  16. #15
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    38
    Вес репутации
    8
    Новый лог MBAM, srvany все равно удалил, хотя галку я снял

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,244
    Вес репутации
    1022
    information

    Информация



    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашим файлам.

    Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

    Скачайте te94decrypt.exe и сохраните в корень диска С.

    В командной строке введите:
    Код:
    C:\te94decrypt.exe -k 479
    Внимание!!!
    1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет

    2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались



    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  18. #17
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    38
    Вес репутации
    8
    Он расшифровавывает файлы только с расширением .LOCKED?

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,244
    Вес репутации
    1022
    Цитата Сообщение от Cmeiiiapa Посмотреть сообщение
    Он расшифровавывает файлы только с расширением .LOCKED?
    А что есть другие зашифрованные файлы с другим расширением?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  20. #19
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    38
    Вес репутации
    8
    Нет, изначально файлы базы 1С .dbf были без расширения

    - - - - -Добавлено - - - - -

    с dbf вроде разобрался - еще раз если присвоить расширение .LOCKED, то он расшифровывает до конца (по крайней мере структура файла нормальная), но база все равно не открывается. Но вот с файлами .xlsx это не проходит. Может я пришлю вам пару файлов MS Office?

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,244
    Вес репутации
    1022
    Если уже чем-то пытались расшифровать файлы, то вы могли покалечить себе файлы таким образом, что их восстановить уже наверное не получится.

    Может я пришлю вам пару файлов MS Office?
    Присылайте.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  • Уважаемый(ая) Cmeiiiapa, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Зашифровали все файлы
      От Игорь2412 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.07.2014, 15:13
    2. Зашифровали файлы
      От zamza74 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 19.06.2014, 20:09
    3. зашифровали файлы dbf,ert
      От Виктор Артемов в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 05.03.2014, 22:49
    4. Зашифрованы файлы *.locked
      От gsm999 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.08.2013, 11:03
    5. Зашифрованы файлы .locked
      От daledale в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.08.2013, 11:14

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00129 seconds with 20 queries