Вирус шифрует файлы xls

Printable View

05.06.2014, 15:00
kalan43

Вложений: 1

Вирус шифрует файлы xls

Вирус шифрует файлы xls
05.06.2014, 15:01
Info_bot

Уважаемый(ая) [B]kalan43[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
05.06.2014, 15:07
kalan43

Вложений: 1

Логи AVZ

лог авз
05.06.2014, 21:35
thyrex

Перечитайте правила и пришлите правильные логи
06.06.2014, 10:24
kalan43

Вложений: 3

Правильные логи AVZ

Правильные логи AVZ
BGH4449203.zip - в первом сообщении это сам вирус который зашифровал файлы сделав их одинакового размера
06.06.2014, 10:55
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Geqnqt','command');
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Для расшифровки пробуйте [URL="http://support.kaspersky.ru/viruses/common/8547"]RannohDecryptor[/URL] - если есть хотя бы одна пара зашифрованный/исходный файлы.
06.06.2014, 12:59
kalan43

Вложений: 1

выполнил код присылаю 2ой скрипт
06.06.2014, 13:22
Vvvyg

[url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url], только программу скачайте [URL="http://yadi.sk/d/nRJyhDgrJNAGr"]отсюда[/URL].
06.06.2014, 13:43
kalan43

Вложений: 1

полный образ автозапуска uVS

полный образ автозапуска uVS
06.06.2014, 14:00
Vvvyg

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.82.8 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\PROGRAM FILES\РОССИНФОТЕХ\ИНФОРМАЦИОННОЕ ПОСЛАНИЕ\WINRAR.EXE
zoo %SystemDrive%\PROGRAM FILES\WINRAR_UPDATE\WINRAR.EXE
; C:\PROGRAM FILES\РОССИНФОТЕХ\ИНФОРМАЦИОННОЕ ПОСЛАНИЕ\WINRAR.EXE
addsgn 92DDA519974B7D8D0A032D5B3DF9E486E369ECE3BFFA5E7806D6BCBC11D65719AAF240939ED4A8C12BC18477461649EB4095E93355EB792DFCF4913AC747225A 16 Win32/Kryptik.CDCA [ESET-NOD32]

; C:\PROGRAM FILES\WINRAR_UPDATE\WINRAR.EXE
; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\МОИ ДОКУМЕНТЫ\ЗАГРУЗКИ\BGH4449203(1)\BGH4449203.SCR
addsgn A7679B19919AF4FA5896AE59403AEFFA9D42A8B4891235647B3C4EA9105E334CAA1548427EDDDF49A09225D7CE544912990C178DDECFF0A46F772F3D66DAA531 16 Trojan.Encoder.567 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\МОИ ДОКУМЕНТЫ\ЗАГРУЗКИ\BGH4449203(1)\BGH4449203.SCR
zoo %SystemDrive%\PROGRAM FILES\OPERA\PROGRAM\PLUGINS\ИНФОРМАЦИЯ_О_ДЕШИФРОВКЕ_ФАЙЛОВ.TXT
delref %Sys32%\GITNTIEP.DLL
; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 2 ДЛЯ BGH4449203(1).ZIP\BGH4449203.SCR
; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 4 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR
; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 5 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR
; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 6 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR
; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 7 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR
; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 11 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR
; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 12 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR
; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 13 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR
; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 14 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR
; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 15 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR
; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 16 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR
chklst
delvir

exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF} /qn /quiet
deltmp
czoo
restart[/code]Компьютер перезагрузится.

[NOTICE]Данный скрипт удалит все устаревшие версии Java, т. к. в них имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
Скачайте и установите [URL="http://www.java.com/ru/download/manual.jsp"]Java 7 Update 60[/URL]. Уязвимости Java являются частой причиной взлома и заражения системы и поэтому это потенциальная дыра в безопасности.[/NOTICE]

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый полный образ автозапуска uVS.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Пара замечаний вдогонку.

1. Шифровальщик упорно запускали вручную множество раз, несмотря на совершенно невнятное имя файла. Слово "РОССИНФОТЕХ" так магически действует? :>

2. А Касперский (не Евгений Валентинович, а антивирус) куда смотрел? В базе у него этот экземпляр есть. Он обновлялся, был вообще активен? Судя по логу AVZ:[QUOTE]Обнаружен статический маршрут к сайту производителя антивируса[/QUOTE]мог и не обновляться. Хотя, сервера обновления доступны.
06.06.2014, 14:46
kalan43

файлы открываются как ироглифы, надпись исчезла
06.06.2014, 14:50
Vvvyg

Какие файлы?
Карантин загрузите.
06.06.2014, 15:05
kalan43

Вложений: 1

файл отпрвлен но отправился только он в 7z я его еще и в зип засунул

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

новый полный образ автозапуска

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[QUOTE=Vvvyg;1123627]Какие файлы?
Карантин загрузите.[/QUOTE]

да файлы xls я открыть пробовал они открываются но в игроглифах
06.06.2014, 15:19
Vvvyg

Прокси сервер HTTP=127.0.0.1:1024 по делу прописан?

Шифровальщик удалён. По расшифровке написал выше.
Уберите ссылку на карантин из предыдущего сообщения.

Установите свежую Java, ссылка выше.

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[QUOTE=kalan43;1123631]да файлы xls я открыть пробовал они открываются но в игроглифах[/QUOTE]

Они зашифрованы. Шифруются не только .xls файлы, архив с шифровальщиком, который Вы вначале выкладывали, тоже был зашифрован.
06.06.2014, 17:03
kalan43

а файлы которые он зашифровал как вернуть в исходно состояние если нет зашифрованный/исходный файлов. он открывает там ироглифами а не как должно быть. То есть был у меня документ с таблицей а там щас ироглифы и хотелось бы вернуть его что для этого нужно сделать ? А по поводу антивируса его просто не было в момент заражения
06.06.2014, 23:26
Vvvyg

Без хотя бы одной пары зашифрованный/исходный не выйдет воссттановить. Попробуйте программами типа Undelete, но надежды мало.
07.06.2014, 13:39
kalan43

а если я вышлю нормальный файл его можно будет заразить этим вирусом чтобы у меня получилось 2 файла исходный и зашифрованный
07.06.2014, 14:32
thyrex

[quote="Vvvyg;1123549"]Для расшифровки пробуйте RannohDecryptor[/quote]Вряд ли поможет для последних модификаций

Вывод: без оригинального дешифратора не обойтись
07.06.2014, 17:55
kalan43

так к слову заразил я чистую машину этим файлом перед этим сохранив оригинальные копии попробовал программой RannohDecryptor она не расшифровала их 20 сек работает и все и останавливается. т.е у меня есть щас исходный файл и файл зашифрованный а толку ноль от этого )), походу все пропали файлы
09.06.2014, 08:19
Vvvyg

Отсюда вывод - бэкап - универсальное средство, помогающее от шифровальщиков, аппаратных сбоев и т. п. Но настраивать резервное копирование нужно ДО появления проблем.
09.06.2014, 08:29
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]