Зашифровали [email protected]

Printable View

04.03.2015, 15:09
SergeyNVS

Зашифровали [email protected]

Добрый день!
Сегодня знакомый принес компьютер с windows 7. Компьютер перегружался при старте Windows. Подключили диск к другому компьютеру. Оказалось что зашифрованы ода диска, системный и диск с данными. На системном зашифровано не все, но есть зашифрованные вайлы в папке Windows. Видимо из за чего не стартует Windows. Даже файл Важно!!!.txt который оставили взломщики у каждого пользователя на рабочем столе - зашифрован.
Выяснилось что был из вне открыт порт 3389. Пароли были не сложные.

Скрипты нет возможности выполнить с зараженной системой, есть возможно чтонибудь сделать?
04.03.2015, 15:10
Info_bot

Уважаемый(ая) [B]SergeyNVS[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
04.03.2015, 17:34
mike 1

[url]http://virusinfo.info/pravila.html[/url]
05.03.2015, 06:16
SergeyNVS

Зашифрованные файлы
[url]https://yadi.sk/d/DlWrEEp_f3d6v[/url]
05.03.2015, 12:38
mike 1

А я пока просил сделать логи. ;)
05.03.2015, 12:42
SergeyNVS

Система на зараженном диске не стартует. Диск подключен к другому компьютеру. Если на нем сделаю сканирование АВЗ и HiJackThis, Вас устроит?
05.03.2015, 14:56
mike 1

В безопасном режиме система грузится?
05.03.2015, 18:41
SergeyNVS

Не в одном из вариантов предложенных по F8 система не грузится. Частично зашифрованный файлы в папке Windows и ее под папках.
06.03.2015, 12:14
mike 1

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://www.dropbox.com/s/fv5udu0pse3a82g/FRST_canned.png?dl=1[/img] и сохраните на Рабочем столе.

[SIZE=1][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить.Только одна из них запустится на Вашей системе.[/SIZE]

Скопируйте FRST на флэш-накопитель:

[img]https://www.dropbox.com/s/usgwsuj1lpr7f88/FRST64.png?dl=1[/img]

Загрузитесь в среду восстановления с жесткого диска (нажмите [b]F8[/b] и выберите пункт [b]Устранение неполадок компьютера[/b]). Вставьте USB-накопитель в компьютер.

Выберите [b]Командная строка [/b]

[img]https://www.dropbox.com/s/ex12w10g18b019s/system%20recovery%20options.jpg?dl=1[/img]

В командной строке введите следующее:

[b]notepad[/b] и нажмите клавишу [b]Enter[/b].
Откроется Блокнот. В меню Файл выберите [b]Открыть[/b].
Выберите "Компьютер", найдите букву своего флэш-накопителя и закройте Блокнот.
В окне введите команду [b][color=#FF0000]e[/color]:\frst64.exe[/b] и нажмите клавишу [b]Enter[/b]
[b]Примечание:[/b] Замените букву [color=#FF0000][b]e[/b][/color] на букву вашего флэш-накопителя.

[LIST][*]После того, как программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Нажмите кнопку [b]Scan[/b]. [*]После окончания сканирования на флэш-накопителе будет создан отчёт ([b]FRST.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/LIST]
[img]https://www.dropbox.com/s/bw0sjh213n7646i/FRST.png?dl=1[/img]
10.03.2015, 11:27
SergeyNVS

Вложений: 1

Сделано
10.03.2015, 13:02
mike 1

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
HKLM\...\Run: [progrmma] => C:\Program Files (x86)\1\winlogon.exe [665088 2009-07-14] ()
C:\Program Files (x86)\1
LastRegBack: 2015-03-04 07:52
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![/list]

Перезагрузите компьютер. Попробуйте загрузится в обычном режиме.
10.03.2015, 13:30
SergeyNVS

Вложений: 1

Сделано. Прегрузили. Система не стартует.
10.03.2015, 13:35
mike 1

На флешке поищите файл [B]<Носитель>:\FRST\Quarantine\C:\Program Files (x86)\1\winlogon.exe[/B], проверьте его на [url=http://www.virustotal.com/index.html]virustotal[/url]
10.03.2015, 13:52
SergeyNVS

На сменном диске этой папки не было. Но была на системном диске зараженного компьютера. Скопировал на флэшку и проверил как просили.

[url]https://www.virustotal.com/en/file/63e39bb9c796e24d88809387a86b2792bb12ed57627425df939231af7348e748/analysis/[/url]
10.03.2015, 16:06
mike 1

Антивирус до этого случайно не находил вирус Parite?

Еще раз логи Farbar сделайте из среды восстановления.
11.03.2015, 07:20
SergeyNVS

Вложений: 1

То что выдавал антивирус не известно. Со слов пользователя - вечером ушли домой, компьютер отсавили включенным. Утром уже не загружался.
Логи в файле.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Если с расшифровкой не получится, то восстановление работы системы уже не актуально.
11.03.2015, 12:11
mike 1

[QUOTE]Если с расшифровкой не получится, то восстановление работы системы уже не актуально.[/QUOTE]
С расшифровкой возможно смогут помочь в DrWeb.

Компьютер в безопасном режиме с поддержкой командной строки грузится?