Прошу Вашей помощи в дешифровке файлов.
в архиве "infected " - образец зашифрованного файла.
дырку в системе обнаружил - все сделали через RDP , подобрав пароли через кейлоггер.
Логи во вложении. Заранее Спасибо.
Printable View
Прошу Вашей помощи в дешифровке файлов.
в архиве "infected " - образец зашифрованного файла.
дырку в системе обнаружил - все сделали через RDP , подобрав пароли через кейлоггер.
Логи во вложении. Заранее Спасибо.
Уважаемый(ая) [B]ppc2014[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*][/LIST]
Все сделал,
смотрите вложение.
[LIST=1][*]Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].[*]Откройте папку с распакованной утилитой [B]uVS[/B] и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт "[B]Запустить под текущим пользователем[/B]".[*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
[CODE]
;uVS v3.84.1 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v384c
breg
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\GLBUH\SOPKJLAM.EXE
zoo %SystemDrive%\INTEL\LOGS\WASPACE_3.11.6.0_FULL\WASPPACER.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MPK\MPK.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\GLBUH\SOPKJLAM.EXE
delall %SystemDrive%\INTEL\LOGS\WASPACE_3.11.6.0_FULL\WASPPACER.EXE
delall %SystemDrive%\RECYCLER\WINLOGON.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\GLBUH\МОИ ДОКУМЕНТЫ\CRYPTO_CASH.ZIP.EXE
delall %SystemDrive%\DRIVERS\IMSM_V8501032_XPVISTA\IMSM\IEXPLORER\SAFESURF.EXE
deldir %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MPK
deldir %SystemDrive%\INTEL\LOGS\WASPACE_3.11.6.0_FULL
czoo
[/CODE][*]В [B]uVS[/B] выберите пункт меню "[B]Скрипт[/B]" => "[B]Выполнить скрипт находящийся в буфере обмена...[/B]"[*]Нажмите на кнопку "[B]Выполнить[/B]" и дождитесь окончания работы программы. Перезагрузите сервер вручную.[*]После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "[b]Прислать запрошенный карантин[/b]" над над первым сообщением в теме.[/LIST]
Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы (во время обновления [B][COLOR="#0000FF"]откажитесь[/COLOR][/B] от загрузки и установки новой версии), выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]
прикрепил лог от malware.
Лог пустой получился.
сделал новый. сорри.
Я просил сделать лог MBAM 1.75.
[QUOTE]
обновите базы (во время обновления [B]откажитесь[/B] от загрузки и установки новой версии)
[/QUOTE]
только сегодня закончил.
вот лог.
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Remove Selected[/b]" ("[B]Удалить выделенные[/B]" - [B][COLOR="Red"]смотрите, что удаляете[/COLOR][/B]).
[CODE]
Files Detected: 9
C:\Documents and Settings\glbuh\Local Settings\Application Data\Opera\Opera\profile\cache4\temporary_download\1c.exe (PUP.KGBKeylogger) -> No action taken.
C:\drivers\IMSM_V8501032_XPVista\IMSM\iexplorer.rar (PUP.Optional.SafeGuard) -> No action taken.
C:\RECYCLER\updater.exe (Trojan.Agent) -> No action taken.
C:\RECYCLER\wasub.exe (Trojan.Agent) -> No action taken.
[/CODE]
[INFORMATION]
[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашим файлам.
Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].
Скачайте [URL="http://download.geo.drweb.com/pub/drweb/tools/te94decrypt.exe"]te94decrypt.exe[/URL] и сохраните [B][COLOR="#0000CD"]в корень диска С[/COLOR][/B].
В командной строке введите:
[code]C:\te94decrypt.exe -k 479[/code]
[B][COLOR="#FF0000"]Внимание!!![/COLOR][/B]
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет
2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались[/INFORMATION]
Спасибо! Кажется, Помогло!
С Уважением.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в AVZ при наличии доступа в интернет:
[CODE]
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \mpk.exe._4e5d6c117943b89ecb5071626ab6f67d1f06e79c - [B]not-a-virus:Monitor.Win32.KGBSpy.au[/B] ( BitDefender: Application.KGBKeylogger.H )[*] \sopkjlam.exe._fc006eae8b77cd47031dc204f6148900185a9f28 - [B]Backdoor.Win32.Tofsee.wf[/B][*] \wasppacer.exe._7610d64a21ef562b998f4298fd7219ef11eafcdd - [B]not-a-virus:NetTool.Win32.Wasppace.l[/B] ( DrWEB: Tool.Wasppacer.2 )[/LIST][/LIST]