Вирус-шифровальщик [email protected]

Printable View

16.02.2015, 14:07
LookingBal

Вирус-шифровальщик [email protected]

Доброго времени суток!
Файлы на ПК зашифровались, и переименовались
например 1Cv7_150125.zip.id-{VEOQGICFZBOUIOMSGFLJXDCIVBAGTZYESYWC-15.02.2015 [email]5@07@416114300}[email protected][/email]
За дешифровку запрашивают 1000$
Пароли на учетки ОС сменил, провел диагностику. Прошу проверить - устранена-ли проблема?
16.02.2015, 14:08
Info_bot

Уважаемый(ая) [B]LookingBal[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
16.02.2015, 14:53
LookingBal

Eset Online Scanner находит на системном разделе файлы, инфицированные Win32/Parite.C вирусом
16.02.2015, 17:08
mike 1

[QUOTE]Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
[/QUOTE]
Базы обновите. Сделайте новые логи
16.02.2015, 18:21
LookingBal

[QUOTE=mike 1;1231073]Базы обновите. Сделайте новые логи[/QUOTE]

Извиняюсь, базы обновил, новые скрипты сделал

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

лог uvs во вложении
16.02.2015, 20:40
mike 1

[QUOTE]>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
[/QUOTE]
Все приехали. Сервер заражен Parite. Вы дешифратор от злоумышленника случайно не запускали?

Лечитесь так [url]http://support.kaspersky.ru/8093[/url], потом делайте новые логи.
16.02.2015, 22:23
LookingBal

[QUOTE=mike 1;1231220]Все приехали. Сервер заражен Parite. Вы дешифратор от злоумышленника случайно не запускали?

Лечитесь так [URL]http://support.kaspersky.ru/8093[/URL], потом делайте новые логи.[/QUOTE]

спасибо! дешифратор не запускали, сейчас записываю диск, буду лечиться.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

к сожалению у меня raid-10 через pci-контроллер. и Kaspersky Rescue disk не видит мои диски. есть еще варианты борьбы с этим вирусом?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[QUOTE=LookingBal;1231233]
к сожалению у меня raid-10 через pci-контроллер. и Kaspersky Rescue disk не видит мои диски. есть еще варианты борьбы с этим вирусом?[/QUOTE]

или может можно как-то заставить Kaspersky Rescue disk видеть мою дисковую подсистему?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

запустил на другом ПК Kaspersky Rescue disk, где также заражение и обычная дисковая подсистема. при сканировании много записей Обнаружено Worm.Win32.Autolt.agm и Virus.Win32.Parite.c, а также Trojan-Downloader.Win32.Agent.aatfj. НО при этом Kaspersky Rescue Disk пишет - Не вылечено. Отложено.
Это, что значит. что лечение невозможно?
16.02.2015, 23:06
mike 1

[QUOTE]Это, что значит. что лечение невозможно?[/QUOTE]
Нет, скорее всего он в конце будет выполнять лечение найденных объектов.
16.02.2015, 23:49
LookingBal

[QUOTE=mike 1;1231289]Нет, скорее всего он в конце будет выполнять лечение найденных объектов.[/QUOTE]

спасибо!как-же мне с сервером быть? как заставить Kaspersky Rescue Disk увидеть рейд-массив? или может есть другой способ лечения?
17.02.2015, 01:32
mike 1

[QUOTE]как заставить Kaspersky Rescue Disk увидеть рейд-массив? [/QUOTE]
Не знаю, я не часто с LiveCD дисками работаю.

[QUOTE]или может есть другой способ лечения?[/QUOTE]
Можете попробовать так [url]http://www.freedrweb.com/livedisk/[/url] пролечиться.
17.02.2015, 07:46
LookingBal

[QUOTE=mike 1;1231336]
Можете попробовать так [URL]http://www.freedrweb.com/livedisk/[/URL] пролечиться.[/QUOTE]

спасибо! качаю, попробую. я ночью пробовал CureIt лечиться, он видит этот вирус как Win32.Parite.3
17.02.2015, 12:24
mike 1

[QUOTE=LookingBal;1231371]спасибо! качаю, попробую. я ночью пробовал CureIt лечиться, он видит этот вирус как Win32.Parite.3[/QUOTE]
Нужно лечиться именно с LiveCD диска. Cureit не справится с ним так как вирус заражает исполняемые exe файлы.
22.02.2015, 23:52
LookingBal

[QUOTE=mike 1;1231220]Все приехали. Сервер заражен Parite. Вы дешифратор от злоумышленника случайно не запускали?
Лечитесь так [url]http://support.kaspersky.ru/8093[/url], потом делайте новые логи.[/QUOTE]

в итоге снял образ с рейд-массива и восстановил на чистый одиночный hdd, и провел лечение с помощью [url]http://support.kaspersky.ru/8093[/url] и [url]http://www.freedrweb.com/livedisk/[/url]

выкладываю логи
23.02.2015, 01:44
mike 1

Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]
23.02.2015, 10:45
LookingBal

[QUOTE=mike 1;1234273]Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[/QUOTE]

сканирование согласно инструкции провел, лог во вложении
23.02.2015, 15:45
mike 1

В MBAM удалите все найденное. С расшифровкой помочь не сможем, возможно смогут помочь в DrWeb, но не сразу.
24.02.2015, 07:07
LookingBal

[QUOTE=mike 1;1234437]В MBAM удалите все найденное. С расшифровкой помочь не сможем, возможно смогут помочь в DrWeb, но не сразу.[/QUOTE]

спасибо огромное за помощь!
можно еще уточнить - как вложения удалять? а то мне пришлось новый логин создавать, так как в предыдущем во вложениях свободное место закончилось, а как удалить вложения, или увеличить место под них, так и не смог разобраться.
24.02.2015, 14:07
mike 1

[QUOTE]можно еще уточнить - как вложения удалять?[/QUOTE]
Мой кабинет => Вложения.
22.03.2015, 14:09
LookingBal

в целом ОС сейчас работает. но в каталоге Temp автоматически создается файл getpaths.cmd с содержанием
[QUOTE]SET COMMON_START_MENU=C:\Documents and Settings\All Users\ѓ«*ў*®Ґ ¬Ґ*о
SET COMMON_STARTUP=C:\Documents and Settings\All Users\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*
SET COMMON_PROGRAMS=C:\Documents and Settings\All Users\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л
SET USER_START_MENU=C:\Documents and Settings\Ђ¤¬Ё*Ёбва*в®а\ѓ«*ў*®Ґ ¬Ґ*о
SET USER_STARTUP=C:\Documents and Settings\Ђ¤¬Ё*Ёбва*в®а\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*
SET USER_PROGRAMS=C:\Documents and Settings\Ђ¤¬Ё*Ёбва*в®а\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л[/QUOTE]

это не вирус?
22.03.2015, 22:27
mike 1

На вирус не похоже