Помогите с шифровальщиком [HEUR:Trojan.Win32.Generic ]

**plst** · 31.10.2016, 13:47

Здравствуйте !!
Словили шифровальщика, зашифровал все документы, архивы и даже sql базы
Зашифрованные файлы имею расширение .erfile
Пока поиск в интернете ничего не дал. Помогите пожалуйста, бэкапов нету (((

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 31.10.2016, 13:48

Уважаемый(ая) plst, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**plst** · 31.10.2016, 13:57

антивирусы ничего не находят, вот ссылка на несколько зашифрованных файлов
http://rgho.st/8MLVZlVlb

**plst** · 01.11.2016, 10:20

Неужели с таким никто не сталкивался ?

**mike 1** · 01.11.2016, 17:56

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 QuarantineFile('c:\windows\system32\radiance\wahiver.exe','');
 TerminateProcessByName('c:\windows\system32\radiance\wizard.exe');
 QuarantineFile('c:\windows\system32\radiance\wizard.exe','');
 TerminateProcessByName('c:\docume~1\stn\locals~1\temp\2\qxg3rd823ut5s4m.exe');
 QuarantineFile('c:\docume~1\stn\locals~1\temp\2\qxg3rd823ut5s4m.exe','');
 TerminateProcessByName('c:\windows\system32\resident\fsproflt2.exe');
 QuarantineFile('c:\windows\system32\resident\fsproflt2.exe','');
 DeleteFile('c:\windows\system32\resident\fsproflt2.exe','32');
 DeleteFile('c:\windows\system32\radiance\wizard.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Alcmeter');
 DeleteFile('c:\windows\system32\radiance\wahiver.exe','32');
ExecuteSysClean;
end.

Перезагрузите сервер. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\reminder.exe

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

**thyrex** · 01.11.2016, 20:26

Расшифрованные файлы

**plst** · 02.11.2016, 09:59

mike 1, Первый скрипт выполнил, карантин пустой, ни одного файла нету, хотя в процессах появляются откуда-то. Комп не в сети.
после фикса в HiJackThis не получается залогинится, пароль ввожу - логофф сразу же. Сейчас восстанавливаюсь и перешлю файлы что вы просили.

- - - - -Добавлено - - - - -

thyrex, как у вас получилось??? поделитесь пожалуйста лечением. Измучался уже весь.

- - - - -Добавлено - - - - -

mike 1, прицепил файлы что вы просили после выполнения скриптов

**thyrex** · 02.11.2016, 18:57

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**plst** · 02.11.2016, 20:31

thyrex, сделано!
и еще момент, не знаю, важно это или нет - с рабочей ОС в system32 папки RADIANCE не видно, но если загрузится с LiveCD то она есть, размером чуть больше 200 метров, и в ней есть все исполняемые файлы которые в процессах висят. Права на нее выставлены только на System, остальным запрет, видимо потому она и не видна. Еще есть папка там же Resident, точно не родная. Внутри экзешник с именем включающем все левые процессы, эта папка тоже не видна если винда запущена.

**thyrex** · 02.11.2016, 23:35

C:\Documents and Settings\glavbuh\Local Settings\Temp\qXg3RD823uT5S4m.exe удалите вручную

HKLM\...\Winlogon: [Userinit] C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\reminder.exe

Сами прописали выделенное красным?

**plst** · 02.11.2016, 23:57

thyrex, нет конечно, не в моих интересах вас путать. мне надо докуметты и базы спасать пока меня под гильятину не положили.
подозреваю вы из сравнения версий логов
если так то поясню -
как только задетектил заразу сразу сделал образ акронисом с загрузочной флэхи на всякий пожарный
далее начал копать, что за беда. Естественно какие то манипуляции проводил но ничего ни лечил и ничего не удалял кроме wmware, чтобы можно было еще и на виртуалке параллельно ковырять
Каждая перезагрузка сопровождалась сообщением о том что файлы зашифрованы. Потом это явление исчезло, и вместе с ним пропали в списке процессов все файлы зловреда (их кстати cureit детектил, но я их не удалял). После скриптов mike 1 я удивился почему они не попадают в карантин, зашел посмотрел а такой папки RADIANCE откуда они стартовали нету, НО когда загрузился с флэхи вся папка там присутствует.
Вобщем, после того как вы попросили логи скинуть из Farbar, я накатил полный образ винта обратно и сделал логи.
Систему спасать мне смысла нет, все равно 2003 давно пора обновлять. Мне важно доки и базы спасти, я это все перенесу на другой сервак. Помогите плиз!!!

**thyrex** · 03.11.2016, 13:54

Проверьте ЛС

**plst** · 04.11.2016, 14:33

thyrex, спасибо огромное!!!! Вечером буду пробывать.
Еще вопрос есть. Что за папка %system32/radiance ?
В ней зараженные файлы и если я их удаляю то не могу залогиниться после перезагрузки.

**thyrex** · 04.11.2016, 18:46

Это нужно пробовать. С серверными системами в реальности не сталкивался

**plst** · 09.11.2016, 15:51

thyrex, спасибо большое еще раз!!! Все расшифровалось с помощью вашего инструмента успешно. Все файлы и базы спасены!!!

**CyberHelper** · 09.11.2016, 16:01

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\docume~1\glavbuh\locals~1\temp\qxg3rd823ut5s4m. exe - HEUR:Trojan.Win32.Generic ( BitDefender: Trojan.Ransom.AIG )

Помогите с шифровальщиком [HEUR:Trojan.Win32.Generic ] (заявка № 205367)

Опции темы