Помогите пожалуйста спасти инфу. Все документы и другие файлы получили расширение .cry
Printable View
Помогите пожалуйста спасти инфу. Все документы и другие файлы получили расширение .cry
Уважаемый(ая) [B]Alavar[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url]http://virusinfo.info/pravila.html[/url]
Разгребаюсь с тем, что произашло (как не знаю) все файлы имеют хвост .cry
Результат загрузки
Файл сохранён как 140912_101050_virus_5412c6aa4d7fb.zip
Размер файла 538027
MD5 0ef379129b4a84c71ee13540047871b9
Файл закачан, спасибо!
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Пример зашифрованных файлов
Здравствуйте!
Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\savina.svetlana\Главное меню\Программы\Автозагрузка\SystemAutorun.exe','');
QuarantineFile('C:\Documents and Settings\savina.svetlana\Local Settings\Application Data\Microsoft\Windows\system.vbs','');
QuarantineFile('C:\Documents and Settings\savina.svetlana\Application Data\system app\loader.exe','');
DeleteFile('C:\Documents and Settings\savina.svetlana\Application Data\system app\loader.exe','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1112091864-3458939556-1066572027-1151\Software\Microsoft\Windows\CurrentVersion\Run','LoaderLocker');
DeleteFile('C:\Documents and Settings\savina.svetlana\Local Settings\Application Data\Microsoft\Windows\system.vbs','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1112091864-3458939556-1066572027-1151\Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
DeleteFile('C:\Documents and Settings\savina.svetlana\Главное меню\Программы\Автозагрузка\SystemAutorun.exe','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1112091864-3458939556-1066572027-1151\Software\Microsoft\Windows\CurrentVersion\Run','SystemAutorun');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
[CODE]
O4 - HKLM\..\Run: [SystemScript] "C:\Documents and Settings\admin.SVLOREAL\Local Settings\Application Data\Microsoft\Windows\system.vbs"
O4 - HKCU\..\Run: [SystemScript] "C:\Documents and Settings\admin.SVLOREAL\Local Settings\Application Data\Microsoft\Windows\system.vbs"
O4 - HKUS\S-1-5-21-1112091864-3458939556-1066572027-1151\..\Run: [LoaderLocker] C:\Documents and Settings\savina.svetlana\Application Data\system app\loader.exe (User 'karavajnaja.irina')
O4 - HKUS\S-1-5-21-1112091864-3458939556-1066572027-1151\..\Run: [SystemAutorun] C:\Documents and Settings\savina.svetlana\Главное меню\Программы\Автозагрузка\SystemAutorun.exe (User 'karavajnaja.irina')
O4 - S-1-5-21-1112091864-3458939556-1066572027-1151 Startup: SystemAutorun.exe (User 'karavajnaja.irina')
[/CODE]
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]
У меня маленький вопросик. Я вылечу машину от вирусов, а восстановить данные (расшифровать) получится ?
[QUOTE=Alavar;1158822]У меня маленький вопросик. Я вылечу машину от вирусов, а восстановить данные (расшифровать) получится ?[/QUOTE]
Не знаю Вы карантин не прислали пока, а шифратор у вас на горячую работает.
Добавлю: с расшифровкой не поможем
както так
[quote="Alavar;1158852"]както так[/quote]Вовсе нет. Карантин пришлите так, как Вас просили
Результат загрузки
Файл сохранён как 140912_140911_qarantine_5412fe87937b0.zip
Размер файла 54767
MD5 6dcd03bcbc23bf02ba4c7c5982b35e5a
Файл закачан, спасибо!
Ждем новые логи.
log
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:
[CODE]
begin
QuarantineFile('C:\Documents and Settings\savina.svetlana\Application Data\Microsoft Office Standart\Encrypt.exe','');
QuarantineFile('C:\Documents and Settings\savina.svetlana\Application Data\Microsoft Office Standart\Microsoft Office Standart.rar','');
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.
[/CODE]
[B]quarantine2.zip[/B] пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Quarantine[/b]" ("[B]Карантин[/B]" - [B][COLOR="Blue"]смотрите, что удаляете[/COLOR][/B]).
[CODE]
Данные реестра:
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1125-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[774c9e4ee992979fb331797c1ee636ca]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1126-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[7d4646a691ea81b5b13374817a8aa957]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1134-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[913227c5b1ca20164f95876edf250cf4]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1144-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[80434aa2fb802e08628208edaf55ce32]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1146-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[f6cd7d6ff78440f64e968075ac5801ff]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1150-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[695a66860e6d6fc7687cdf160afa50b0]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1151-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[388b618bb7c467cfc123896cf410ad53]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1152-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[9b285795b3c8b97d737150a5f80cc23e]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1153-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[2c97a24a4338b87eb52f4ca9c93b9e62]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1168-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[f9ca5b9103780036aa3a9a5b48bc748c]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1176-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[e9da707cfa8174c20ada55a01de76e92]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1210-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[c20134b883f811252fb533c22dd7649c]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1211-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[a51e7874a4d7a4925f8528cdf3117c84]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1216-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[10b31bd1afccf93d6c7850a519eb9f61]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1218-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[13b0b03c661594a2697b8372bd479070]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1220-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[b40f94580e6d201642a207ee57ad837d]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1221-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[edd6ab41cbb08caaf4f083724eb634cc]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1281-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[8241678584f73600667e8d68030120e0]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-500-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[d2f1ba32aecdeb4bbf250ee7bc4818e8]
Файлы:
Trojan.Hoaxsms, C:\Documents and Settings\savina.svetlana\Application Data\system app.rar, , [ba093cb054276dc912213f5411ef7789],
Backdoor.MSIL.PGen, C:\Documents and Settings\savina.svetlana\Application Data\Microsoft Office Standart\Encrypt.exe, , [319209e3a0db082ee00aa4f216eabc44],
Backdoor.MSIL.PGen, C:\Documents and Settings\savina.svetlana\Application Data\Microsoft Office Standart\Microsoft Office Standart.rar, , [5b68df0d790254e2f0fac4d22dd3fb05],
Trojan.Hoaxsms, C:\RECYCLER\S-1-5-21-842925246-1547161642-1606980848-500\Dc2.exe, , [e6dd6b810279999d0c27d8bb9d6311ef],
Backdoor.MSIL.PGen, C:\RECYCLER\S-1-5-21-842925246-1547161642-1606980848-500\Dc3.exe, , [8d367379eb901f1762881185ca36649c],
[/CODE]
[COLOR="Red"][B]Обратите внимание[/B][/COLOR]! Для остальных объектов выберете действие "[B]Ignore[/B]" ("[B]Игнорировать[/B]").
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Пока еще ничего не удалял. Вирус очень сложный - мне аж нравится ))) Похоже у ребят из касперского и веба уйдет какоето время на дешифровку. Похоже на то что у меня самая свежая модификация. Логи будут чуть позже. Люди которые разработали данный алгоритм шифрования берут за расшифровку 190 грн. В доказательство они расшифровали 1 файл и показали скрин его содержимого. На расшифровку у него ушло 3 минуты (специально засекал). Похоже алгоритм сложный и лекарства ждать не скоро.
Они Вам расшифровывали в прямом эфире что ли? ))) Лекарство от вирлабов вряд ли будет вообще
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\savina.svetlana\local settings\application data\microsoft\windows\system.vbs - [B]Trojan.VBS.Agent.su[/B] ( DrWEB: Trojan.Ormes.9, AVAST4: VBS:AutoRun-CS [Trj] )[/LIST][/LIST]