Показано с 1 по 6 из 6.

Помогите! Один вирус зашифровал другого! (заявка № 117762)

  1. #1
    Junior Member Репутация
    Регистрация
    11.03.2012
    Сообщений
    3
    Вес репутации
    22

    Помогите! Один вирус зашифровал другого!

    Перед выходными сервер не загрузился после перезагрузки...
    Оказалось вирусы затёрли загрузочный сектор...
    После установки диска на другой комп. с целью перекачки файлов, выяснилось, что практически все файлы зашифрованы...

    В основных директориях лежали файлы:
    detka.exe
    КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    выход есть.png.EnCiPhErEd
    jaguary1.exe.EnCiPhErEd
    lockdir.exe.EnCiPhErEd

    А также присутствовала скрытая не копируемая директория (файлы из которой, тем не менее копируются)
    содержащая правильную структуру папок, в которой находятся файлы вида CDEEE2FBE920F2E5EAF1F2EEE2FBE920E4EEEAF3ECE5EDF22E 747874.RN
    Кое в каких папках ещё сохранились файлы с правильным названием и расширением EnCiPhErEd
    Утилиты от DRWEB спотыкались на папке Windows с ошибкой.
    После долгих поисков в инете, была найдена XoristDecryptor.exe XoristDecryptor.2.2.39.0 а затем и XoristDecryptor.2.2.40.0
    39 ничего не расшифровывала, 40 расшифровала все файлы с расширением EnCiPhErEd

    Т.е. насколько понимаю, расшифрована сама утилита lockdir.exe и вирус jaguary1.exe
    Дальше ничего сделать не могу -- так и осталась куча файлов с зашифрованным названием и расширением .RN
    А данные очень нужны...
    На всякий случай прикладываю всё, что нашёл на заражённом диске NOD32 (e и g -- один физический диск с сервера):
    "E:\gfweq23.Bi\C08436D18DF.exe - модифицированный Win32/Kryptik.WSW троянская программа
    E:\ProgramData\mshtune.exe - Win32/Agent.TIR троянская программа
    E:\Users\User1\AppData\Local\dplaysvr.exe - модифицированный Win32/Kryptik.AAAJ троянская программа
    E:\Users\User1\AppData\Local\dplayx.dll - модифицированный Win32/Kryptik.AACV троянская программа
    E:\Users\User1\AppData\LocalLow\Sun\Java\Deploymen t\cache\6.0\12\1c76a78c-198af831 - модифицированный Win32/Kryptik.ZLR троянская программа
    E:\Users\User1\AppData\LocalLow\Sun\Java\Deploymen t\cache\6.0\5\221e2a45-35a09ab4 - модифицированный Win32/Injector.NPQ троянская программа
    E:\Users\User1\AppData\LocalLow\Sun\Java\Deploymen t\cache\6.0\53\4956eb5-2b9a7721 - модифицированный Win32/Kryptik.ZVJ троянская программа
    E:\Users\User1\AppData\Roaming\fsdiag.exe - Win32/Agent.TIR троянская программа
    E:\Users\User1\AppData\Roaming\Microsoft\Windows\S tart Menu\Programs\Startup\q7vy9rp6.exe - Win32/TrojanDownloader.Carberp.AB троянская программа
    E:\Users\User1\AppData\Roaming\Microsoft Corporation\lpksta.api - Win32/Corkow.D троянская программа
    E:\Users\User1\Desktop\detka.exe - модифицированный Win32/Filecoder.Q троянская программа
    G:\totalcmd\detka.exe - модифицированный Win32/Filecoder.Q троянская программа
    G:\Базы1с\detka.exe - модифицированный Win32/Filecoder.Q троянская программа

    D:\viruz\jaguary1.exe - модифицированный Win32/Packed.PrivateEXEProtector.C потенциально нежелательная программа"
    99.9 % файлов было переписано на мой комп.

    Как требуется, прикладываю логи AVZ и HiJackThis, но они на эти файлы не обратили внимания (jaguary1.exe, detka.exe)

    Насколько понимаю, без команды их прикреплять нельзя, по этому пока без них.

    Прошу помочь с расшифровкой...

    С Уважением!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) MikleG, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,556
    Вес репутации
    3022
    Файлы jaguar и detka.exe запакуйте с паролем virus, выложите на обменник и пришлите ссылку
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    11.03.2012
    Сообщений
    3
    Вес репутации
    22
    Упаковал в ZIP с паролем virus и закачал по ссылке "http://virusinfo.info/upload_virus.php?tid=117762" (закачать запрошенный карантин). Я правильно сделал, или имелся ввиду обычный файлообменник (там же обычно много рекламы!)?

  6. #5
    Junior Member Репутация
    Регистрация
    11.03.2012
    Сообщений
    3
    Вес репутации
    22
    Судя по отсутствию ответа, сделал что-то не так.

    Выложил файл на майле: http://files.mail.ru/7V5MXH

    Пароль стандартный virus

  7. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. \\detka.exe - Trojan-Ransom.Win32.Xorist.er ( DrWEB: Trojan.Encoder.94, BitDefender: Gen:Variant.Graftor.12713, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) MikleG, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус зашифровал файлы. Помогите!
      От Dimados в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 21.03.2012, 11:57
    2. Помогите, вирус зашифровал файлы
      От Виталий_Л в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.02.2012, 14:24
    3. Помогите!!!Вирус зашифровал файлы(фото)
      От omonix в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 04.01.2012, 11:44
    4. Помогите вирус зашифровал файлы.
      От feers в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 14.12.2011, 23:59
    5. Вирус с другого компьютера!
      От Ольга-virusinfo в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 02.03.2008, 04:24

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01299 seconds with 17 queries