Помогите! [email protected]_254 [Trojan.Win32.Agent.adttc ]

[Андрей Чернов]

В общем, поймал шифровальщика(((... Собрали мне всю дрянь не AVZ увы, поторопились, но может хватит этого, сам вирус есть. Есть исходные файлы и шифрованные, но они больше 1 Мб каждый. В архиве все по папкам как в компьютере. Вирус уже убили (скорее всего, но от AVZ не откажусь). Нужен дешифратор, помогите, пожалуйста!!!

[Info_bot]

Уважаемый(ая) Андрей Чернов, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

http://virusinfo.info/pravila.html

[Андрей Чернов]

Правила я читал, логи AVZ прикрепляю, правда система уже пролечена, не знаю, помогут ли. Ссылка на файлы, исходный и шифрованный - http://files.mail.ru/7A4509E7957542089E2D966B81A298F5. Сами вирусы и лог Hijack в первом посте. Может что-нибудь похожее уже есть? Помогите, пожалуйста.

[thyrex]

Пофиксите в HiJack

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = https://sandeta.com/themes/sde.exg

ProxyServer = 192.168.4.1:8080 сами прописали?

Сделайте лог gmer

[Андрей Чернов]

HiJack-ом пофиксил, прокси убрал, это не я писал(. Лог gmer-а прилагаю.

[thyrex]

1. Откройте Блокнот и скопируйте в него текст скрипта

Код:

ifej7ly2.exe -del file "C:\WINDOWS\system32\kndmxf.dll"
ifej7ly2.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hojqabcz"
ifej7ly2.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xwvxxim"
ifej7ly2.exe -reboot

2. Нажмите Файл - Сохранить как
3. Выберите папку, в которую сохранили ifej7ly2.exe (gmer)
4. Укажите Тип файла - Все файлы (*.*)
5. Введите имя файла cleanup.bat и нажмите кнопку Сохранить
6. Запустите cleanup.bat

ВНИМАНИЕ: Компьютер перезагрузится!!!

Сделайте новый лог gmer

[Андрей Чернов]

Выполнено. Лог во вложении.

[thyrex]

Сделайте лог полного сканирования МВАМ

[Андрей Чернов]

Сделано. Лог во вложении.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(true);
  end;
QuarantineFile('C:\!!!Вирус!!!\Tasks.rar', 'MBAM: Trojan.FileLock');
QuarantineFile('C:\!!!Вирус!!!\Tasks.zip', 'MBAM: Trojan.FileLock');
QuarantineFile('C:\!!!Вирус!!!\Tasks\312.exe', 'MBAM: Trojan.FileLock');
DeleteFile('C:\!!!Вирус!!!\Tasks.rar');
DeleteFile('C:\!!!Вирус!!!\Tasks.zip');
DeleteFile('C:\!!!Вирус!!!\Tasks\312.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Удалите в МВАМ все, кроме

Код:

Объекты реестра обнаружены:  3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

[Андрей Чернов]

Папку "!!!Вирус!!!" и все, что в ней находится, я сам создал и положил туда этот вирус. Сам вирус я отправлял вам в первом посте, вы его удалили. Могу еще раз отправить, назвав, как Вы просите, virusinfo_autoquarantine.zip, сути дела это не меняет. С MBAM я разберусь. Спасибо Вам, что после работы онлайн помогаете мне чистить компьютер и тратите свое драгоценное время на то, чтобы обучить меня правилам борьбы с вирусами в операционной системе Windows. Вопрос - как быть с дешифрацией? Реально это или нет? Только брутфорс или что-то еще есть?

[mike 1]

Карантин из вложений удалите! virusinfo_autoquarantine.zip нужно загрузить по красной ссылке Прислать запрошенный карантин вверху темы

[Андрей Чернов]

Да уж, бюрократии у Вас только поучится. У Вас директор не Билл Гейтс случайно? Прислал запрошенный карантин - Файл сохранён как 140115_050855_virus_52d617e7f1772.zip.. А знаете, я еще умею нажимать кнопку Пуск и запускать другие программы, вот. Готов продолжить обучение на Ваших компьютерных курсах, вы хорошие преподаватели. Дайте хоть программу для брутфорса, я бы уже половину вариантов этого RSA-1024 перебрал для этого приватного ключа!

[thyrex]

Дайте хоть программу для брутфорса, я бы уже половину вариантов этого RSA-1024 перебрал для этого приватного ключа!

Вам самому не смешно ? Антивирусные компании этим заниматься не хотят по причине несоизмеримости затрат времени и результата

[Андрей Чернов]

Антивирусные компании этим заниматься не хотят по причине несоизмеримости затрат времени и результата

Это понятно, они и не будут этим заниматься. Это, собственно не их профиль - дешифрация. Коллекционируйте сигнатуры, это здорово помогает в борьбе с заразой.
И все-таки, подскажите, пожалуйста, куда копать, где искать, ибо криптографией не занимался. Поставлю машинку, пусть молотит. А вдруг мой ключ окажется вначале перебора? Преценденты уже есть, находил на просторах интернета.

[Андрей Чернов]

Неделя прошла. И тишина... Че там с моим вирусом?! Помощники, не молчите! Скажите хоть что-нибудь!

[thyrex]

Я все уже Вам сказал. Больше добавить нечего

[Андрей Чернов]

Ну, то есть, от вирусов мы вас избавили, досвидания, так получается. Офигенная помощь, ничего не скажешь. Ну, поставьте себе очередной плюсик. А скоко стоит Ваша помощь в окончательном устранении последствий вируса? Бесплатно, я так понимаю, Вы этого делать не собираетесь... Ладно, устрою тендер между Вами и вымогателями. Собственно, все равно кому платить. Можно в личку по почте, она у Вас есть.

[Андрей Чернов]

Уважаемые помощники! Я глубоко признателен Вам за Ваш труд, за то, что Вы, невзирая на все трудности и перипетии нашей нелегкой жизни, помогаете нам, несведущим пользователям, в борьбе против компьютерных вирусов. Но в состязании с этим вирусом мы с Вами, наверное, проиграли... Прощай мой терабайт данных...
Большая просьба, если Вы где-то как-то когда-то найдете отгадку этого шифра - сообщите мне по почте. Надежда умирает последней.
Если Вы считаете нужным закрыть эту тему - можете ее закрыть. Ну, токо отпишитесь, мол, все пока, мы бессильны, ищем там, думаем, бла-бла-бла... А то я все-таки поглядываю сюда, а вдруг... И почту каждый день трепетно проверяю...

С уважением,
Андрей