-
Junior Member
- Вес репутации
- 30
ПОМОГИТЕ!!! Зашифровались файлы на компе после того, как дети в интернет сходили, судя по признакам Xorist [HEUR:Trojan.Win32.Generic
]
В каждой папке файл с именем "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt"
Содержимое файлов:
Все ваши файлы зашифрованы!
Если хотите расшифровать свои файлы, то пишите на email: [email protected]
Стоимость расшифровки 6500 руб.,спешите! Возможно повышение цены!
У файлов расширение .toste
Зловреда вроде как вычислил и удалил из автозагрузки. Запихал в архив с паролем "virus"
МОЗГОВ НЕ ХВАТАЕТ РАСШИФРОВАТЬ !
лог AVZ до удаления https://yadi.sk/d/Djq1qSbDrV5sS
лог AVZ после удаления https://yadi.sk/d/KHAsJ4t4rV6ew
лог HijackThis до удаления https://yadi.sk/d/Cc4qj4ePrV63Q
лог HijackThis после удаления https://yadi.sk/i/GCXLP0ZWrV6sT
Собственно тельце вируса [удалено]
Последний раз редактировалось thyrex; 04.05.2016 в 21:45.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) minusles, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName('c:\intel\extremegraphics\cui\resource\sysobb\waspace_3.12.5.0_full\waspwing.exe');
QuarantineFile('c:\intel\extremegraphics\cui\resource\sysobb\waspace_3.12.5.0_full\waspwing.exe','');
TerminateProcessByName('C:\Intel\ExtremeGraphics\CUI\Resource\Sysobb\WaspAce_3.12.5.0_full\wahiver64.exe');
TerminateProcessByName('c:\intel\extremegraphics\cui\resource\sysobb\waspace_3.12.5.0_full\wasp.exe');
QuarantineFile('c:\intel\extremegraphics\cui\resource\sysobb\waspace_3.12.5.0_full\wasp.exe','');
QuarantineFile('C:\Program Files\SecurLogon\SLListener.exe','');
QuarantineFile('C:\Intel\ExtremeGraphics\CUI\Resource\Sysobb\WaspAce_3.12.5.0_full\wahiver64.exe','');
DeleteFile('C:\Intel\ExtremeGraphics\CUI\Resource\Sysobb\WaspAce_3.12.5.0_full\wahiver64.exe','32');
DeleteFile('c:\intel\extremegraphics\cui\resource\sysobb\waspace_3.12.5.0_full\wasp.exe','32');
DeleteFile('c:\intel\extremegraphics\cui\resource\sysobb\waspace_3.12.5.0_full\waspwing.exe','32');
DeleteFile('C:\Intel\ExtremeGraphics\CUI\Resource\Sysobb\WaspAce_3.12.5.0_full\ffmpegsumo.dll','32');
DeleteFile('C:\Intel\ExtremeGraphics\CUI\Resource\Sysobb\WaspAce_3.12.5.0_full\libcef.dll','32');
DeleteFile('C:\Intel\ExtremeGraphics\CUI\Resource\Sysobb\WaspAce_3.12.5.0_full\libegl.dll','32');
DeleteFile('C:\Intel\ExtremeGraphics\CUI\Resource\Sysobb\WaspAce_3.12.5.0_full\libglesv2.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 30
Новые логи
AVZ https://yadi.sk/d/EHXG_A-FrVC3T
HijackThis https://yadi.sk/i/vJQXKSsIrVC88
- - - - -Добавлено - - - - -
До кучи прислал удаленный файл шифровальщика
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 30
-
Удалите в МВАМ все найденное.
Смените пароль к RDP, через который к Вам попали.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 30
-
Образцы шифрованных файлов пришлите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 30
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 30
Что то не догоняю. Выбрать файл не могу. Запускаю утилиту "UnXorist" Тип файла "Выбрать файл конфигурации" и не выбирается. Мои файлы с расширением ".toste" Видимо в этом дело. Утилиту гонял минут 15 ничего не получилось.
Видимо проблемы с расширением файла. Или что...
Последний раз редактировалось minusles; 05.05.2016 в 23:11.
-
Вы инструкцию читали внимательно? Скачали файл конфигурации?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 30
Разобрался. тупанул малость. Всё замечательно расшифровалось.
ОГРОМНАЯ ЧЕЛОВЕЧЕСКАЯ БЛАГОДАРНОСТЬ ВАМ!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- \sfe23re2nrmt46v.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Trojan.Ransom.AIG, AVAST4: Win32:Evo-gen [Susp] )
-