Вирус зашифровал файлы добавив расширение oshit
Логи AVZ + текст от вымогателей. Помогите пожалуйста.
Printable View
Вирус зашифровал файлы добавив расширение oshit
Логи AVZ + текст от вымогателей. Помогите пожалуйста.
Уважаемый(ая) [B]Aleksey Astakhov[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[QUOTE][B]Внимание !!![/B] База поcледний раз обновлялась [B]12.07.2013[/B] необходимо обновить базы при помощи автоматического обновления ([B]Файл/Обновление баз[/B])[/QUOTE]
Обновите базы AVZ и сделайте новые логи
Изменения в Hosts файл сами вносили?
Нет сам не изменял[ATTACH]448202[/ATTACH][ATTACH]448203[/ATTACH]
Ваша надстройка? Прописано в автозагрузке.
[CODE]O4 - HKLM..PoliciesExplorerRun: [1] \192.168.12.130skladiadvisoragnt.exe[/CODE]
[LIST][*]Если у вас [B][URL="http://windows.microsoft.com/ru-ru/windows-vista/32-bit-and-64-bit-Windows-frequently-asked-questions"]32 разрядная версия windows[/URL][/B], то скачайте [url=http://safezone.cc/random/RSIT.exe][B]Random's System Information Tool (RSIT)[/B][/url] или с [url="http://images.malwareremoval.com/random/RSIT.exe"]зеркала[/url] [*]Если у вас [B][URL="http://windows.microsoft.com/ru-ru/windows-vista/32-bit-and-64-bit-Windows-frequently-asked-questions"]64 разрядная версия windows[/URL][/B], то необходимо скачать эту версию [URL="http://safezone.cc/random/RSITx64.exe"][B]Random's System Information Tool(RSIT)x64[/B][/URL] или с [URL="http://images.malwareremoval.com/random/RSITx64.exe"]зеркала[/URL][/LIST]
Запустите, выберите проверку файлов за последние три месяца и нажмите "Продолжить". Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
Да моя высылаю файлы
Закройте все программы
Отключите
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\to-irina\Application Data\0n7rb.exe','');
DeleteFile('C:\Documents and Settings\to-irina\Application Data\0n7rb.exe','32');
DeleteFile('C:\WINDOWS\Razblokirovka_failov.txt','32');
DeleteFile('C:\WINDOWS\system32\drivers\Razblokirovka_failov.txt','32');
DeleteFile('C:\WINDOWS\system32\Razblokirovka_failov.txt','32');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\EpsonPLJDriver');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
Сделайте новые логи RSIT
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
+ Выложите несколько зашифрованных файлов в архиве.
Карантин выслал + логи RSIT
+ Выложите несколько зашифрованных файлов
1. Что находится в этих папках?
[CODE]C:\temp
C:\d7db67591248bbec263004a20552a292[/CODE]
2. Этот файл удалите:
[CODE]C:\Razblokirovka_failov.txt[/CODE]
3. По поводу дешифровки файлов [B]возможно[/B] вам смогут помочь [URL="http://forum.drweb.com/index.php?showtopic=315918"]здесь[/URL], но там нужна лицензия на антивирус DrWeb.
Спасибо за содействие, я так понял что расшифровать не получится.
[QUOTE=Aleksey Astakhov;1064478]Спасибо за содействие, я так понял что расшифровать не получится.[/QUOTE]
Да не получится так как для каждого id свой уникальный ключ дешифровки. Увы
Какие файлы есть в папке C:\Documents and Settings\to-irina\Application Data ?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]