ПОМОГИТЕ!!! Зашифровались файлы на компе после того, как дети в интернет сходили, судя по признакам Xorist [HEUR:Trojan.Win32.Generic ]

**minusles** · 04.05.2016, 21:35

В каждой папке файл с именем "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt"

Содержимое файлов:

Все ваши файлы зашифрованы!
Если хотите расшифровать свои файлы, то пишите на email: [email protected]

Стоимость расшифровки 6500 руб.,спешите! Возможно повышение цены!

У файлов расширение .toste

Зловреда вроде как вычислил и удалил из автозагрузки. Запихал в архив с паролем "virus"

МОЗГОВ НЕ ХВАТАЕТ РАСШИФРОВАТЬ !

лог AVZ до удаления https://yadi.sk/d/Djq1qSbDrV5sS
лог AVZ после удаления https://yadi.sk/d/KHAsJ4t4rV6ew
лог HijackThis до удаления https://yadi.sk/d/Cc4qj4ePrV63Q
лог HijackThis после удаления https://yadi.sk/i/GCXLP0ZWrV6sT

Собственно тельце вируса [удалено]

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 04.05.2016, 21:36

Уважаемый(ая) minusles, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 04.05.2016, 21:48

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\intel\extremegraphics\cui\resource\sysobb\waspace_3.12.5.0_full\waspwing.exe');
 QuarantineFile('c:\intel\extremegraphics\cui\resource\sysobb\waspace_3.12.5.0_full\waspwing.exe','');
 TerminateProcessByName('C:\Intel\ExtremeGraphics\CUI\Resource\Sysobb\WaspAce_3.12.5.0_full\wahiver64.exe');
 TerminateProcessByName('c:\intel\extremegraphics\cui\resource\sysobb\waspace_3.12.5.0_full\wasp.exe');
 QuarantineFile('c:\intel\extremegraphics\cui\resource\sysobb\waspace_3.12.5.0_full\wasp.exe','');
 QuarantineFile('C:\Program Files\SecurLogon\SLListener.exe','');
 QuarantineFile('C:\Intel\ExtremeGraphics\CUI\Resource\Sysobb\WaspAce_3.12.5.0_full\wahiver64.exe','');
 DeleteFile('C:\Intel\ExtremeGraphics\CUI\Resource\Sysobb\WaspAce_3.12.5.0_full\wahiver64.exe','32');
 DeleteFile('c:\intel\extremegraphics\cui\resource\sysobb\waspace_3.12.5.0_full\wasp.exe','32');
 DeleteFile('c:\intel\extremegraphics\cui\resource\sysobb\waspace_3.12.5.0_full\waspwing.exe','32');
 DeleteFile('C:\Intel\ExtremeGraphics\CUI\Resource\Sysobb\WaspAce_3.12.5.0_full\ffmpegsumo.dll','32');
 DeleteFile('C:\Intel\ExtremeGraphics\CUI\Resource\Sysobb\WaspAce_3.12.5.0_full\libcef.dll','32');
 DeleteFile('C:\Intel\ExtremeGraphics\CUI\Resource\Sysobb\WaspAce_3.12.5.0_full\libegl.dll','32');
 DeleteFile('C:\Intel\ExtremeGraphics\CUI\Resource\Sysobb\WaspAce_3.12.5.0_full\libglesv2.dll','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

**minusles** · 04.05.2016, 22:34

Новые логи
AVZ https://yadi.sk/d/EHXG_A-FrVC3T
HijackThis https://yadi.sk/i/vJQXKSsIrVC88

- - - - -Добавлено - - - - -

До кучи прислал удаленный файл шифровальщика

**thyrex** · 04.05.2016, 23:29

Сделайте лог полного сканирования МВАМ

**minusles** · 05.05.2016, 07:04

лог MBAM: https://yadi.sk/i/pYl0ngF8rVRc7

**thyrex** · 05.05.2016, 09:41

Удалите в МВАМ все найденное.
Смените пароль к RDP, через который к Вам попали.

**minusles** · 05.05.2016, 15:33

Сделал

**thyrex** · 05.05.2016, 18:51

Образцы шифрованных файлов пришлите

**minusles** · 05.05.2016, 19:24

Раз https://yadi.sk/d/GmdpJUzorWVTa
Два https://yadi.sk/d/ucOriScJrWVTE
Три https://yadi.sk/d/EOXXRmvsrWVM2

**thyrex** · 05.05.2016, 19:44

Проверяйте ЛС

**minusles** · 05.05.2016, 22:58

Что то не догоняю. Выбрать файл не могу. Запускаю утилиту "UnXorist" Тип файла "Выбрать файл конфигурации" и не выбирается. Мои файлы с расширением ".toste" Видимо в этом дело. Утилиту гонял минут 15 ничего не получилось.
Видимо проблемы с расширением файла. Или что...

**thyrex** · 05.05.2016, 23:59

Вы инструкцию читали внимательно? Скачали файл конфигурации?

**minusles** · 06.05.2016, 11:16

Разобрался. тупанул малость. Всё замечательно расшифровалось.
ОГРОМНАЯ ЧЕЛОВЕЧЕСКАЯ БЛАГОДАРНОСТЬ ВАМ!!!

**CyberHelper** · 06.05.2016, 11:26

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 5
В ходе лечения обнаружены вредоносные программы:
1. \sfe23re2nrmt46v.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Trojan.Ransom.AIG, AVAST4: Win32:Evo-gen [Susp] )

ПОМОГИТЕ!!! Зашифровались файлы на компе после того, как дети в интернет сходили, судя по признакам Xorist [HEUR:Trojan.Win32.Generic ] (заявка № 200157)

Опции темы