2 мая обнаружил, что файлы зашифрованы. Расширение dyatel@qq_com. Все doc, xls и т.д. exe- не зашифрованы
Логи: [URL]http://yadi.sk/d/5MnczgQVP4mKb[/URL]
Помогите.
Printable View
2 мая обнаружил, что файлы зашифрованы. Расширение dyatel@qq_com. Все doc, xls и т.д. exe- не зашифрованы
Логи: [URL]http://yadi.sk/d/5MnczgQVP4mKb[/URL]
Помогите.
Уважаемый(ая) [B]teplokom[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Вот что прислали в ответ:
Дорогие наши друзья,
я очень рада что вы обратились именно к нам....
гос. пошлина за расшифровку составляет всего каких-то 25000 руб.
и принимается на киви кошелёк созданный только под ваш платёж.
Оплату вы всегда може произвести в любом терминале где пополняют мобилки.
Далее вы присылаете ваш ip адрес смотрите его тут
[url]http://www.myip.ru/ru-RU/index.php[/url] или тут [url]http://2ip.ru/[/url]
получаете анлокер (расшифровщик) для вашего бронированного танка ;=)
распаковываете -> запускаете анлокер -> и забываете про эти досадные неприятности,
в течении 20-60 минут все ваши файлы будут расшифрованы, так как каждый файл переписывает сам себя несколько раз.
Если анлокер будет передан третьим лицам (выложите на форумах , антивирусных сайтах или где то ещё),
все ваши файлы вместе с сервером будут уничтожены.
Даже если вы их перенесёте в безопасное как вам кажется место.
Поверьте останетесь без файлов и без денег.
Софт полностью заметёт за собой следы и само удалится из вашей системы через пятнадцать дней.
Мы бесплатно расшифруем несколько ваших файлов, что бы вы убедились что дешифратор у нас есть, возможно будет и у вас.
Нужно тело шифровальщика. Зашли удаленно через RDP. Пароли меняйте.
Сделайте такие [url=http://virusinfo.info/soft/tool.php?tool=SITLog]логи[/url]
RDP отключил
Вот логи [ATTACH]472890[/ATTACH]
[ATTACH]472891[/ATTACH]
Отчеты в порядке. Нужно тело шифратора. Без него помочь не получится.
Как его изыскать?
[QUOTE=teplokom;1113529]Как его изыскать?[/QUOTE]
Скорее всего он был удален. Можно попробовать восстановить удаленные недавно файлы при помощи программ восстановления.
Нашел странный файл. Положил в карантин.
[QUOTE=teplokom;1113788]Нашел странный файл. Положил в карантин.[/QUOTE]
Присланный файл чистый.
Меня больше интересует, как они смогли подломать пароль??? Он не простой. И на 6 попытку отконекктивается. Кстати шифровальшика тело не словили?
[QUOTE]Кстати шифровальшика тело не словили?[/QUOTE]
Пока нет.
Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы, выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]
[ATTACH]474181[/ATTACH]
Вот лог.
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Remove Selected[/b]" ("[B]Удалить выделенные[/B]" - [B][COLOR="Red"]смотрите, что удаляете[/COLOR][/B]).
[CODE]
Обнаруженные ключи в реестре: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Heuristics.Shuriken) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Действие не было предпринято.
Объекты реестра обнаружены:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL|CheckedValue (PUM.Hijack.System.Hidden) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято.
Обнаруженные папки: 1
C:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 (Trojan.Agent) -> Действие не было предпринято.
Обнаруженные файлы:
D:\Общие документы\Плановый отдел\RECYCLER\S-1-5-21-3208886373-1161066066-2345430976-1114\[email protected] (Trojan.Qhost) -> Действие не было предпринято.
D:\Общие документы\Расчетный\Downloads\schet-na-oplatu.exe (PUP.Optional.InstallMonstr.A) -> Действие не было предпринято.
C:\WINDOWS\ufdata2000.log (Malware.Trace) -> Действие не было предпринято.
[/CODE]
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
RakhniDecryptor 1.5.5.0: [url]http://support.kaspersky.ru/10556[/url] уже должен помочь
Yes!!!! Отлично! Работает!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]