Пошифровались XML, XLS, возможно что-то еще. Самое важное - XML. В корне появились файлы README1 README2 и т.д. до 10 с вот таким содержимым
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
613B0AB764461DD4E54F|0
на электронный адрес [email protected] или [email protected] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
613B0AB764461DD4E54F|0
to e-mail address [email protected] or [email protected] .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
Имена файлов поменялись на хаотичный набор символов, а расширения на xtbl. Заранее спасибо если сможете помочь.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) cisc0, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Версия Windows: 5.2.3790, Service Pack 2 "Microsoft Windows Server 2003 R2" ; AVZ работает с правами администратора,AVZ запущен из терминальной сессии (RDP-Tcp#1)
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
TerminateProcessByName('c:\intel\web\microsoft\surfguard.exe');
TerminateProcessByName('c:\intel\web\microsoft\services.exe');
TerminateProcessByName('c:\intel\web\microsoft\safesurf.exe');
SetServiceStart('ddns', 4);
StopService('ddns');
QuarantineFile('C:\Documents and Settings\Default User\Local Settings\Application Data\Microsoft\Windows\winupdate.exe','');
QuarantineFile('c:\intel\web\microsoft\surfguard.exe','');
QuarantineFile('c:\intel\web\microsoft\services.exe','');
QuarantineFile('c:\intel\web\microsoft\safesurf.exe','');
DeleteFile('c:\intel\web\microsoft\safesurf.exe','32');
DeleteFile('c:\intel\web\microsoft\surfguard.exe','32');
DeleteFile('C:\Intel\Web\Microsoft\services.exe','32');
DeleteFile('C:\Documents and Settings\Default User\Local Settings\Application Data\Microsoft\Windows\winupdate.exe','32');
DeleteService('ddns');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
end.
Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Код:
O4 - .DEFAULT User Startup: winupdate.lnk = C:\Documents and Settings\Default User\Local Settings\Application Data\Microsoft\Windows\winupdate.exe (User 'Default user')
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:
;uVS v3.85 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v385c
breg
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BT+5A98TV4WILVJFWNBPPEUSKCV5SSUKEQJGTFCNUC0=.XTBL
del %SystemDrive%\DOCUMENTS AND SETTINGS\DEFAULT USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\HWKLUMPSTOZL+PZSWLMHCT7L8XE1PXWO0VYDHIP-OIS=.XTBL
del %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\XEG8MQ3LJUNP3E4MOTS61ZEWS14YFVW4B0RX0H6TOUA=.XTBL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\БАРАНОВА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ЯРЛЫК ДЛЯ WA.VBS.LNK
del %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАСЕНКООКСАНА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FI5W4U2VRQCIMTZP2MLCGUEHF6XKWYJGXZKH4EWJUR8=.XTBL
del %SystemDrive%\DOCUMENTS AND SETTINGS\КУЗОВКИНАТАТЬЯНА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\QIMCMLE6DE0FSVTWSHLTAR5WXBTZMWYUIZO0O7ZT2PQ=.XTBL
delall %SystemDrive%\RECYCLER\WASPACE\WA.VBS
zoo %SystemRoot%\ADFS\CTFMON.EXE
delall %SystemRoot%\ADFS\CTFMON.EXE
czoo
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.
После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
Folder: C:\Documents and Settings\ВласенкоОксана\IETldCache
Folder: C:\Documents and Settings\Администратор\PrivacIE
Folder: C:\Documents and Settings\Администратор\IETldCache
Folder: C:\Documents and Settings\All Users\Application Data\Windows
Folder: C:\Documents and Settings\User_adm\WINDOWS
Folder: C:\Documents and Settings\LarkinOleg\WINDOWS
Folder: C:\Documents and Settings\Баранова\WINDOWS
Folder: C:\Documents and Settings\Белоусова\WINDOWS
Folder: C:\Documents and Settings\БибаеваВера\WINDOWS
Folder: C:\Documents and Settings\АкимоваЕкатерина\WINDOWS
Folder: C:\Documents and Settings\Макарова\WINDOWS
Folder: C:\Documents and Settings\ВласенкоОксана\WINDOWS
Folder: C:\Documents and Settings\Завгар\WINDOWS
Folder: C:\Documents and Settings\КузовкинаТатьяна\WINDOWS
Folder: C:\Documents and Settings\КопноваТатьяна\WINDOWS
Folder: C:\Documents and Settings\Юрченко\WINDOWS
Folder: C:\Documents and Settings\Попова\WINDOWS
Folder: C:\Documents and Settings\ЯкимоваМарина\WINDOWS
Folder: C:\Documents and Settings\РжевскаяСветлана\WINDOWS
Folder: C:\Documents and Settings\ХарьковскаяНаталья\WINDOWS
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: