Прошу помощи. Шифровщик([email protected]) [not-a-virus:NetTool.Win32.Wasppace.l ]

**kamazoh** · 25.09.2014, 22:25

Здравствуйте, прошу помощи в дешифровке файлов.
появились txt файлы с таким содержанием:

ВНИМАНИЕ!!!
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ. КОЛ-ВО ПОПЫТОК ВВОДА ПАРОЛЯ - 10.
НЕ РЕКОМЕНДУЕТСЯ:
- ЗАКРЫВАТЬ ОКОШКО ДЛЯ ВВОДА ПАРОЛЯ, КОТОРОЕ ВЫСКАКИВАЕТ ПОСЛЕ ПРИВЕТСТВИЯ;
- ПРОВЕРЯТЬ КОМП АНТИВИРУСОМ;
- ПЕРЕУСТАНАВЛИВАТЬ ВИНДОВС.

ВСЕ ЭТИ ДЕЙСТВИЯ ТОЛЬКО УСЛОЖНЯТ ВАМ ЖИЗНЬ, ХОТЯ ФАЙЛЫ СКОРЕЕ ВСЕГО ЕЩЕ МОЖНО БУДЕТ ВОССТАНОВИТЬ, НАПИСАВ НАМ. НЕ УСЛОЖНЯЙТЕ СВОЕ ПОЛОЖЕНИЕ, ЛУЧШЕ ПИШИТЕ НА:
[email protected]

И ВСЕ БУДЕТ ХОРОШО. ДО СКОРОГО.

virusinfo_syscure.zip на данный момент предоставить нет возможности,
остальные прилагаю

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 25.09.2014, 22:26

Уважаемый(ая) kamazoh, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 26.09.2014, 00:26

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

**kamazoh** · 26.09.2014, 13:42

Сообщение от mike 1

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

прикрепил

**mike 1** · 26.09.2014, 13:59

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

Код:

;uVS v3.83 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
breg

zoo %SystemDrive%\USERS\IRINA\SAVED GAMES\1CV8.EXE
delall %SystemDrive%\USERS\IRINA\SAVED GAMES\1CV8.EXE
zoo %SystemDrive%\USERS\IRINA\SAVED GAMES\НОВАЯ ПАПКА\WAAGENT.EXE
delall %SystemDrive%\USERS\IRINA\SAVED GAMES\НОВАЯ ПАПКА\WAAGENT.EXE
czoo

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.
После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Потом выполните скрипт в uVS:

Код:

adddir %SystemDrive%\USERS\IRINA\SAVED GAMES
crimg

После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению

**kamazoh** · 26.09.2014, 21:39

сделал

**mike 1** · 26.09.2014, 22:14

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

Код:

;uVS v3.83 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
breg

zoo %SystemDrive%\USERS\IRINA\SAVED GAMES\WAAGENT.EXE
zoo %SystemDrive%\USERS\IRINA\SAVED GAMES\WASUB.EXE
zoo %SystemDrive%\USERS\IRINA\SAVED GAMES\WATASKTESTER.EXE
zoo %SystemDrive%\USERS\IRINA\SAVED GAMES\НОВАЯ ПАПКА\UPDATER.EXE
zoo %SystemDrive%\USERS\IRINA\SAVED GAMES\НОВАЯ ПАПКА\WASUB.EXE
zoo %SystemDrive%\USERS\IRINA\SAVED GAMES\НОВАЯ ПАПКА\WATASKTESTER.EXE
zoo %SystemDrive%\USERS\IRINA\SAVED GAMES\НОВАЯ ПАПКА (2)\UPDATER.EXE
zoo %SystemDrive%\USERS\IRINA\SAVED GAMES\НОВАЯ ПАПКА (2)\WAAGENT.EXE
zoo %SystemDrive%\USERS\IRINA\SAVED GAMES\НОВАЯ ПАПКА (2)\WASUB.EXE
zoo %SystemDrive%\USERS\IRINA\SAVED GAMES\НОВАЯ ПАПКА (2)\WATASKTESTER.EXE
delall %SystemDrive%\USERS\IRINA\SAVED GAMES\WAAGENT.EXE
delall %SystemDrive%\USERS\IRINA\SAVED GAMES\WASUB.EXE
delall %SystemDrive%\USERS\IRINA\SAVED GAMES\WATASKTESTER.EXE
delall %SystemDrive%\USERS\IRINA\SAVED GAMES\НОВАЯ ПАПКА\UPDATER.EXE
delall %SystemDrive%\USERS\IRINA\SAVED GAMES\НОВАЯ ПАПКА\WASUB.EXE
delall %SystemDrive%\USERS\IRINA\SAVED GAMES\НОВАЯ ПАПКА\WATASKTESTER.EXE
delall %SystemDrive%\USERS\IRINA\SAVED GAMES\НОВАЯ ПАПКА (2)\UPDATER.EXE
delall %SystemDrive%\USERS\IRINA\SAVED GAMES\НОВАЯ ПАПКА (2)\WAAGENT.EXE
delall %SystemDrive%\USERS\IRINA\SAVED GAMES\НОВАЯ ПАПКА (2)\WASUB.EXE
delall %SystemDrive%\USERS\IRINA\SAVED GAMES\НОВАЯ ПАПКА (2)\WATASKTESTER.EXE
delall %SystemDrive%\USERS\IRINA\APPDATA\LOCAL\MICROSOFT1\SMSS.EXE
zoo %SystemDrive%\USERS\IRINA\SAVED GAMES\SAFESURF\%DRIVE_C%\SAFESURF\SAFESURF.EXE.TMP
delall %SystemDrive%\USERS\IRINA\SAVED GAMES\SAFESURF\%DRIVE_C%\SAFESURF\SAFESURF.EXE.TMP
del %SystemDrive%\USERS\IRINA\SAVED GAMES\WASPPACER - ЯРЛЫК.LNK
czoo

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Сервер перезагрузите вручную.
После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Пришлите зашифрованную картинку.

**kamazoh** · 26.09.2014, 22:55

в карантин отправил,
картинку прилагаю

http://files.webfile.ru/1fce6f83397b...61ae24dc233f73 (место закончилось)

**mike 1** · 26.09.2014, 23:04

Информация

Скачайте te94decrypt.exe и сохраните в корень диска С.

В командной строке введите:

Код:

C:\te94decrypt.exe -k 476

Внимание!!!
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет

2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались

**kamazoh** · 26.09.2014, 23:17

Огромнейшее спасибо!

, получилось, попробовал на нескольких файлах на виртуалке, т.к. дефицит места

**mike 1** · 27.09.2014, 00:45

Пароли от RDP и учетных записей меняйте на более стойкие иначе опять зайдут и запустят что нибудь. Прецеденты уже бывали.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Советы и рекомендации после лечения компьютера

**CyberHelper** · 27.09.2014, 00:55

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 8
В ходе лечения обнаружены вредоносные программы:
1. \waagent.exe._8aad183d17e18952accf0167b80f3420a124 bbdf - not-a-virus:NetTool.Win32.Wasppace.l ( BitDefender: Trojan.Generic.11759656 )
2. \wasub.exe._616f9dc26d5023b128b420996523574f25aee2 b7 - not-a-virus:NetTool.Win32.Wasppace.l ( DrWEB: Tool.Click.22, BitDefender: Trojan.Generic.11692138 )
3. \watasktester.exe._ac9885be892aa15897b109e98ea097c f603a6316 - not-a-virus:NetTool.Win32.Wasppace.l