Вирус зашифровал файлы

Printable View

21.02.2010, 22:14
gorbik5

Вирус зашифровал файлы

Подцепили вирус, который зашифровал файлы. Иконка файла стала в виде буквы Ж на черном фоне, тип файла "П****а всем файлам", фоном рабочего стола картинка с фотографией и предложением отправить 1000 руб. на Яндекс деньги. Примерно каждые 3-4 минуты компьютер стал уходить в перезагрузку. Стоит свежий NOD32, но он тревоги не поднимал.

Cure It в безопасном режиме нашел и удалил следующее:

mssfc.dll Trojan.WinSpy.440
sdra64.exe Trojan.PWS.Panda.122
sfcfiles.dll Trojan.WinSpy.440
bp_20[1].exe Trojan.Packed.682
rdl1E.tmp.exe Trojan.Packed.682
svchost.exe Trojan.Packed.19692
npsBF8.tmp JS.DownLoader.85
Free_update.exe Trojan.Packed.19692
CSCA1.DLL Trojan.Encoder.64
activate_file (1).exe Trojan.Hosts.109
activate_file.exe Trojan.Hosts.109
activation (1).exe Trojan.Hosts.109
activation.exe Trojan.Hosts.109

Перезагрузки прекратились, но файлы остались зашифрованы. Логи приложены. Помогите, пожалуйста, расшифровать файлы.
21.02.2010, 22:33
CyberHelper

1. Пожалуйста, выполните скрипт AVZ:
[CODE]
begin
QuarantineFile('ACDV.dll', 'CHQ=N');
QuarantineFile('DevDetect.exe', 'CHQ=N');
QuarantineFile('C:\WINDOWS\Twain_32\Samsung\SCX4600\IMFilter.dll', 'CHQ=G');
QuarantineFile('c:\windows\twain_32\samsung\scx4600\scan2pc.exe', 'CHQ=G');
QuarantineFile('C:\WINDOWS\Twain_32\Samsung\SCX4600\scantopc.dll', 'CHQ=G');
QuarantineFile('C:\WINDOWS\system32\ssmgr.cpl', 'CHQ=G');
QuarantineFile('C:\WINDOWS\system32\wbem\svchost.exe', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\C7xUSBX3.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\Drivers\SSPORT.sys', 'CHQ=N');
QuarantineFile('C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm', 'CHQ=G');
QuarantineFile('C:\WINDOWS\system32\btcpl.cpl', 'CHQ=G');
QuarantineFile('C:\WINDOWS\system32\bthcrp.dll', 'CHQ=G');
QuarantineFile('C:\WINDOWS\system32\drivers\btserial.sys', 'CHQ=G');
QuarantineFile('C:\WINDOWS\system32\drivers\btslbcsp.sys', 'CHQ=G');
QuarantineFile('c:\program files\widcomm\bluetooth software\bin\btwdins.exe', 'CHQ=G');
BC_QrFile('C:\WINDOWS\system32\wbem\svchost.exe');
BC_QrFile('C:\WINDOWS\system32\DRIVERS\C7xUSBX3.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\SSPORT.sys');
BC_QrFile('C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm');
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
В ходе выполнения скрипта компьютер перезагрузится.
2. Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить [URL]http://virusinfo.info/index.php?page=uploadclean[/URL]
21.02.2010, 23:51
pig

Ага, зверь известный:
[QUOTE='gorbik5;590960']CSCA1.DLL Trojan.Encoder.6[/QUOTE]
Это обнадёживает. Попробуйте [url=ftp://ftp.drweb.com/pub/drweb/tools/]отсюда[/url] утилиты te*decrypt.exe
22.02.2010, 09:59
gorbik5

[QUOTE=CyberHelper;590972]1. Пожалуйста, выполните скрипт AVZ:
...
2. Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR=Red][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить [URL]http://virusinfo.info/index.php?page=uploadclean[/URL][/QUOTE]

2. Загрузил (100222_094859_virus_4b8228db82ac5.zip)
3. Выполнил и загрузил (100222_095148_virusinfo_files_GORB_4b8229848f70b.zip)

[QUOTE=pig]Это обнадёживает. Попробуйте [URL="ftp://ftp.drweb.com/pub/drweb/tools/"]отсюда[/URL] утилиты te*decrypt.exe [/QUOTE]

А которую из них? Или взять несколько файлов и на них все попробовать - глядишь какая-нибудь и расшифрует?

UPD Попробовал все - не расшифровывают
23.02.2010, 00:03
pig

Тогда обращайтесь за помощью [url=http://forum.drweb.com/index.php?showforum=35]сюда[/url].
24.02.2010, 21:49
gorbik5

[QUOTE=pig;591715]Тогда обращайтесь за помощью [URL="http://forum.drweb.com/index.php?showforum=35"]сюда[/URL].[/QUOTE]

[URL="http://forum.drweb.com/index.php?showtopic=289519&st=0"]Там [/URL]все еще забавнее. Разгорелась какая-то дискуссия между пользователями форума. А вот про расшифровку как было непонятно, так и осталось :(
24.02.2010, 22:58
pig

Сухой остаток:
[quote=Borka]Если я правильно понял, Вирлаб выдаст Вам расшифровщик взамен на заявление в милицию.[/quote]
25.02.2010, 22:58
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]