Вирус шифрует файлы xls
Вирус шифрует файлы xls
Уважаемый(ая) kalan43, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
лог авз
Перечитайте правила и пришлите правильные логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Правильные логи AVZ
BGH4449203.zip - в первом сообщении это сам вирус который зашифровал файлы сделав их одинакового размера
Последний раз редактировалось kalan43; 06.06.2014 в 10:36.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Geqnqt','command'); ExecuteWizard('TSW',2,2,true); RebootWindows(true); end.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Для расшифровки пробуйте RannohDecryptor - если есть хотя бы одна пара зашифрованный/исходный файлы.
WBR,
Vadim
выполнил код присылаю 2ой скрипт
Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
WBR,
Vadim
полный образ автозапуска uVS
Выполните скрипт в uVS:Компьютер перезагрузится.Код:;uVS v3.82.8 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\PROGRAM FILES\РОССИНФОТЕХ\ИНФОРМАЦИОННОЕ ПОСЛАНИЕ\WINRAR.EXE zoo %SystemDrive%\PROGRAM FILES\WINRAR_UPDATE\WINRAR.EXE ; C:\PROGRAM FILES\РОССИНФОТЕХ\ИНФОРМАЦИОННОЕ ПОСЛАНИЕ\WINRAR.EXE addsgn 92DDA519974B7D8D0A032D5B3DF9E486E369ECE3BFFA5E7806D6BCBC11D65719AAF240939ED4A8C12BC18477461649EB4095E93355EB792DFCF4913AC747225A 16 Win32/Kryptik.CDCA [ESET-NOD32] ; C:\PROGRAM FILES\WINRAR_UPDATE\WINRAR.EXE ; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\МОИ ДОКУМЕНТЫ\ЗАГРУЗКИ\BGH4449203(1)\BGH4449203.SCR addsgn A7679B19919AF4FA5896AE59403AEFFA9D42A8B4891235647B3C4EA9105E334CAA1548427EDDDF49A09225D7CE544912990C178DDECFF0A46F772F3D66DAA531 16 Trojan.Encoder.567 [DrWeb] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\МОИ ДОКУМЕНТЫ\ЗАГРУЗКИ\BGH4449203(1)\BGH4449203.SCR zoo %SystemDrive%\PROGRAM FILES\OPERA\PROGRAM\PLUGINS\ИНФОРМАЦИЯ_О_ДЕШИФРОВКЕ_ФАЙЛОВ.TXT delref %Sys32%\GITNTIEP.DLL ; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 2 ДЛЯ BGH4449203(1).ZIP\BGH4449203.SCR ; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 4 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR ; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 5 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR ; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 6 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR ; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 7 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR ; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 11 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR ; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 12 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR ; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 13 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR ; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 14 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR ; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 15 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR ; C:\DOCUMENTS AND SETTINGS\USER.41D14F5392A24CE\LOCAL SETTINGS\TEMP\ВРЕМЕННАЯ ПАПКА 16 ДЛЯ BGH4449203(2).ZIP\BGH4449203.SCR chklst delvir exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF} /qn /quiet deltmp czoo restart
Уведомление
Данный скрипт удалит все устаревшие версии Java, т. к. в них имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
Скачайте и установите Java 7 Update 60. Уязвимости Java являются частой причиной взлома и заражения системы и поэтому это потенциальная дыра в безопасности.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый полный образ автозапуска uVS.
- - - Добавлено - - -
Пара замечаний вдогонку.
1. Шифровальщик упорно запускали вручную множество раз, несмотря на совершенно невнятное имя файла. Слово "РОССИНФОТЕХ" так магически действует?
2. А Касперский (не Евгений Валентинович, а антивирус) куда смотрел? В базе у него этот экземпляр есть. Он обновлялся, был вообще активен? Судя по логу AVZ:мог и не обновляться. Хотя, сервера обновления доступны.Обнаружен статический маршрут к сайту производителя антивируса
WBR,
Vadim
файлы открываются как ироглифы, надпись исчезла
Какие файлы?
Карантин загрузите.
WBR,
Vadim
Прокси сервер HTTP=127.0.0.1:1024 по делу прописан?
Шифровальщик удалён. По расшифровке написал выше.
Уберите ссылку на карантин из предыдущего сообщения.
Установите свежую Java, ссылка выше.
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
- - - Добавлено - - -
Они зашифрованы. Шифруются не только .xls файлы, архив с шифровальщиком, который Вы вначале выкладывали, тоже был зашифрован.
WBR,
Vadim
а файлы которые он зашифровал как вернуть в исходно состояние если нет зашифрованный/исходный файлов. он открывает там ироглифами а не как должно быть. То есть был у меня документ с таблицей а там щас ироглифы и хотелось бы вернуть его что для этого нужно сделать ? А по поводу антивируса его просто не было в момент заражения
Последний раз редактировалось kalan43; 06.06.2014 в 17:56.
Без хотя бы одной пары зашифрованный/исходный не выйдет воссттановить. Попробуйте программами типа Undelete, но надежды мало.
WBR,
Vadim
а если я вышлю нормальный файл его можно будет заразить этим вирусом чтобы у меня получилось 2 файла исходный и зашифрованный
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
так к слову заразил я чистую машину этим файлом перед этим сохранив оригинальные копии попробовал программой RannohDecryptor она не расшифровала их 20 сек работает и все и останавливается. т.е у меня есть щас исходный файл и файл зашифрованный а толку ноль от этого )), походу все пропали файлы
Отсюда вывод - бэкап - универсальное средство, помогающее от шифровальщиков, аппаратных сбоев и т. п. Но настраивать резервное копирование нужно ДО появления проблем.
WBR,
Vadim
Уважаемый(ая) kalan43, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.