Добрый день, под Новый Год пришло счастье в виде шифровщика..
Логи в архиве, пароль 12345
[URL]http://rghost.ru/8NCFZSCnx[/URL]
Заранее благодарны за Вашу помощь и поддержку!
Добрый день, под Новый Год пришло счастье в виде шифровщика..
Логи в архиве, пароль 12345
[URL]http://rghost.ru/8NCFZSCnx[/URL]
Заранее благодарны за Вашу помощь и поддержку!
Уважаемый(ая) [B]yurka51[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Логи грузите на форум.
логи и зашифрованные файлы в приложении
Удаленно зашли. Пароли меняйте.
[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*][/LIST]
Логи Universal Virus Sniffer во вложении, пароли заменили.
Так же скорее всего есть исходник шифратора (exe). прикрепить в архиве с паролем?
подскажите пожалуйста, шанс дешифровать есть? :sos:
[QUOTE]Так же скорее всего есть исходник шифратора (exe). прикрепить в архиве с паролем? [/QUOTE]
По ссылке вверху темы загрузите карантин.
[LIST=1][*]Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].[*]Откройте папку с распакованной утилитой [B]uVS[/B] и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт "[B]Запустить под текущим пользователем[/B]".[*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
[CODE]
;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v385c
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER4\APPLICATION DATA\8\WASPPACER.EXE
addsgn 9252778A366AC1CC0BD4734EA34F0E79028AEA4128B348FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 48 Wasppacer
addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6C16323947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 8 Tool.DedToolza.1 [DrWeb]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\MANAGER\РАБОЧИЙ СТОЛ\DEDTOOLZA.EXE
bl D07FE94DD22E81556D874C9A769F4013 991232
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER4\APPLICATION DATA\8\WINLOGON.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER4\МОИ ДОКУМЕНТЫ\1.EXE
chklst
delvir
czoo
[/CODE][*]В [B]uVS[/B] выберите пункт меню "[B]Скрипт[/B]" => "[B]Выполнить скрипт находящийся в буфере обмена...[/B]"[*]Нажмите на кнопку "[B]Выполнить[/B]" и дождитесь окончания работы программы. Прошу учесть, что компьютер [B][COLOR="Red"]может быть перезагружен[/COLOR][/B].[*]После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "[b]Прислать запрошенный карантин[/b]" над над первым сообщением в теме.[/LIST]
Сделайте новый лог uVS.
два карантина отправил:
первый build.exe - вероятный шифровщик
второй согласно скрипта (1.exe весит 60 мб, инсталлятор winlogon, не стал загружать)
логи после выполнения скрипта
[QUOTE]C:\DOCUMENTS AND SETTINGS\MANAGER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-{TNSCULXAZTXEYQTLXPHALDHOZSSZKDGYKCUM-08.03.2015 [email]4@11@006782446}[email protected][/email][/QUOTE]
Везет же некоторым админам. Ни чему не учатся. Дедик уже который раз сбрутили.
[QUOTE]C:\DOCUMENTS AND SETTINGS\MANAGER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT[/QUOTE]
Прикрепите.
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url]
[code]
;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v385c
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER4\APPLICATION DATA\8\WASPPACER.EXE
addsgn 9252778A366AC1CC0BD4734EA34F0E79028AEA4128B348FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 48 Wasppacer
deldir %SystemDrive%\DOCUMENTS AND SETTINGS\USER4\APPLICATION DATA\8
chklst
delvir
[/code]
Перезагрузите компьютер. Сделайте новый лог.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\cure\canbe\мои документы\build.exe - [B]Trojan-Ransom.Win32.Cryakl.ahh[/B] ( DrWEB: Trojan.Encoder.567, BitDefender: Gen:Variant.Symmi.44013, AVAST4: Win32:Malware-gen )[/LIST][/LIST]