Просьба помочь в расшифровке файлов, которые были зашифрованы в последствии вируса.
Проблема полностью аналогична этой, только разрешение файлов после шифровки - h8uT6i.
Был запущен Setup.exe, который разархивировал во временную директорию o.js, klmn.exe и прочее.
Вот кусок кода o.js, при запуске этого Setup.exe на виртуальной машине (боюсь ключ случайный, и может не подойти):
Код:
var wsws=WScript.CreateObject("WScript.Shell");
wsws.Run("klmn.exe -png1r54j4t -d%temp%", 0);
Close();
К сожалению, отыскать исходники на зараженной машине не получается, видимо вирус стер все. И не получается прогнать скрипт AVZ для приложения данных к сайту, AVZ зависает на одном их зашифрованных zip-файлов.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) MalyaWka, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте. Ваши файлы зашифрованы! Для того, чтобы расшифровать файлы вам необходимо написать на емейл: [email protected] или [email protected]
В письме вам необходимо сообщить нам вашу страну проживания и ваш ID.
Услуги по расшифровке платные. Стоимость составляет 10$. Просьба не писать, если вы не собираетесь оплачивать.
На проверку вы можете прислать нам 2-3 небольших зашифрованных файла (до 3 мегабайт каждый) и мы их расшифруем совершенно бесплатно.
Ваш ID y3587496
- - - - -Добавлено - - - - -
Вот результат AVZ.
- - - - -Добавлено - - - - -
Вот ссылка на архив с якобы драйвером, который все зашифровал. Если скачать, там будет exe-шник, который поддается распаковке и внутри как раз "klmn.exe". Если распаковать klmn.exe то там будет замаскированный svhost.exe и пара JS-скриптов.
Последний раз редактировалось MalyaWka; 09.12.2015 в 22:36.
Пришлите в архиве с паролем virus (в имени архива не должно быть символов кириллицы) по красной ссылке Прислать запрошенный карантиннад первым сообщением в Вашей теме.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect