Решена Вирус зашифровал файлы [Xorist]

Статус
В этой теме нельзя размещать новые ответы.

siv21102

Постоянный участник
Сообщения
200
Реакции
4
Здравствуйте, файлы зашифрованы, после расширения добавлено sa-files
 

Вложения

  • CollectionLog-2015.08.03-20.54.zip
    129.4 KB · Просмотры: 3
Несколько зашифрованных файлов (лучше документов MS Office) выложите в архиве на rghost.ru и пришлите ссылку

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
 
Готово
 

Вложения

  • ClearLNK-03.08.2015_22-05.log
    13.3 KB · Просмотры: 0
Последнее редактирование:
Что запускали перед шифрованием?
 
Ничего, как обычно в субботу, включил его в 10 утра, работал в 1С, глядел ютуб в браузере, все. ушел не выключил его. Он сам выключается в 2 часа ночи. Пришел в понедельник и не смог зайти в систему, пароль админа был изменен. Я с помощью лайвсиди сбросил пароль, вошел в систему и первым делом увидел открытый автозапуском файл тхт Мол зашифровано свяжитесь с нами. 1 августа еще все нормально было. Не могу понять что могло повлиять. У меня в сети еще пара соседей, может с них что прилетело.
Везде созданы текстовые файлы с таким содержанием
Внимание! Все Ваши файлы зашифрованы!
Чтобы восстановить свои файлы и получить к ним доступ,
свяжитесь с нами по email: sa-file@ro.ru

У вас есть 5 попыток ввода кода. При превышении этого
количества, все данные необратимо испортятся. Будьте
внимательны при вводе кода!

И код некуда вводить, хотя у меня его и нет)
 
Последнее редактирование модератором:
У меня в сети еще пара соседей, может с них что прилетело.
А у них зашифрованные файлы есть? Если так, то нужно и у них проверить компьютеры.

Это дешифруется, но при наличии самого файла шифровальщика
 
Как быть дальше, где он шифровальщик? он на моей системе находиться? Можно это исправить?
Я не могу понять как при каких обстоятельствах эта зараза проникла в мой комп. я ничего не устанавливал из писем ничего не запускал.
 
Я же написал, что сначала у соседей поспрошайте, не появилось ли у них зашифрованных файлов. Этот шифровальщик может распространяться и кряках, патчах, модах...
 
они не жалуются и на ноуте моем который тоже в локалке все отлично, признаков не выявлено.
 
Готово
 

Вложения

  • malware.txt
    10.9 KB · Просмотры: 2
Удалите в МВАМ только
Код:
Разделы реестра: 8
Trojan.Proxy, HKLM\SOFTWARE\CLASSES\CLSID\{C379EAD1-CB34-4B09-AF6B-7E587F8BCD80}, , [fad79074008b81b55d5069230ef46b95],
Trojan.Proxy, HKLM\SOFTWARE\CLASSES\blank.DynamicNS, , [fad79074008b81b55d5069230ef46b95],
PUP.Optional.TorrentSearch.A, HKLM\SOFTWARE\Torrent Search, , [c50c2cd8ddaeca6c3c34435aa0649868],
PUP.Optional.VoPackage.A, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\VOPackage, , [5c75af556e1de650cb88b2e634d06a96],
PUP.Optional.MintCast.A, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\mintcastnetworks, , [48897f851972e452e7fd17ffaf54718f],
PUP.Optional.TorrentSearch.A, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\Update Service for Torrent Search, , [09c86b9948438babb6aef22f10f3dd23],
PUP.Optional.InstallCore.C, HKU\S-1-5-21-2899179222-644460223-2397393279-1000\SOFTWARE\InstallCore, , [dff27d87216ae1553369663dea1a6d93],
PUP.Optional.TorrentSearch.A, HKU\S-1-5-21-2899179222-644460223-2397393279-1000\SOFTWARE\Torrent Search, , [8849dd27711a46f098d7207d966e946c],

Значения реестра: 1
PUP.Optional.VOPackage, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\VOPACKAGE|UninstallString, "C:\Users\1\AppData\Roaming\VOPackage\uninstall.exe", , [7061cc38e5a670c6ba8a93ac33d0768a]

Папки: 5
PUP.Optional.OpenCandy, C:\Users\1\AppData\Roaming\OpenCandy, , [28a9f70d90fbeb4b7de333aabe4425db],
PUP.Optional.OpenCandy, C:\Users\1\AppData\Roaming\OpenCandy\77001E1F5C7D41FEAD2C5E1009AD5861, , [28a9f70d90fbeb4b7de333aabe4425db],
PUP.Optional.ExtensionInstallerHelper.A, C:\Users\1\AppData\Local\Temp\extensionInstallerHelperFolder, , [11c029db484341f5d5a3b647ec166d93],
PUP.Optional.VOPackage.A, C:\Users\1\AppData\Roaming\VOPackage, , [b8191de76c1f66d0c6420ff40af9d32d],
PUP.Optional.VOPackage.A, C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage, , [557c5fa50c7fcf6733d6838059aa8779],

Файлы: 53
PUP.Optional.OpenCandy, C:\Users\1\AppData\Local\Temp\is-1792Q.tmp\OCSetupHlp.dll, , [2ba644c0f89353e3e98de68749bcd927],
PUP.Optional.TorrentSearch.A, C:\Users\1\AppData\Local\Temp\{E46D3408-D8AE-46FB-ACEE-A5BAED2A4A52}\fast-torrent-search.exe, , [2ea3dc28c1ca1521bffd541fcc3534cc],
PUP.Optional.TorrentSearch.SID.C, C:\Users\1\AppData\Local\Temp\extensionInstallerHelperFolder\Chromium.dll, , [0cc55da7e6a57bbb504eb9c123e2d42c],
PUP.Optional.TorrentSearch.SID.C, C:\Users\1\AppData\Local\Temp\extensionInstallerHelperFolder\InstallerHelper.dll, , [7160a95bd4b780b6613d7901ec1935cb],
PUP.Optional.TorrentSearch.SID.C, C:\Users\1\AppData\Local\Temp\extensionInstallerHelperFolder\KompexSQLiteWrapper.dll, , [30a119eb6a21b97d7d21cfaba164837d],
RiskWare.Tool.HCK, C:\$Recycle.Bin\S-1-5-21-2899179222-644460223-2397393279-1000\$R4ECX45\UniversalTermsrvPatch_20090425\UniversalTermsrvPatch-x64.exe, , [05cc669e3853f24409123e5a55ac659b],
RiskWare.Tool.HCK, C:\$Recycle.Bin\S-1-5-21-2899179222-644460223-2397393279-1000\$R4ECX45\UniversalTermsrvPatch_20090425\UniversalTermsrvPatch-x86.exe, , [60717f85d2b9a98dd8434a4e2cd5e818],
PUP.Optional.OpenCandy, C:\Users\1\AppData\Roaming\OpenCandy\77001E1F5C7D41FEAD2C5E1009AD5861\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt, , [28a9f70d90fbeb4b7de333aabe4425db],
PUP.Optional.ExtensionInstallerHelper.A, C:\Users\1\AppData\Local\Temp\extensionInstallerHelperFolder\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt, , [11c029db484341f5d5a3b647ec166d93],
PUP.Optional.VOPackage.A, C:\Users\1\AppData\Roaming\VOPackage\trzB83D.tmp, , [b8191de76c1f66d0c6420ff40af9d32d],
PUP.Optional.VOPackage.A, C:\Users\1\AppData\Roaming\VOPackage\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt, , [b8191de76c1f66d0c6420ff40af9d32d],
PUP.Optional.VOPackage.A, C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage\Configure.lnk.sa-file, , [557c5fa50c7fcf6733d6838059aa8779],
PUP.Optional.VOPackage.A, C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt, , [557c5fa50c7fcf6733d6838059aa8779],
 
Удалил, вот новый лог
 

Вложения

  • CollectionLog-2015.08.04-15.04.zip
    131.6 KB · Просмотры: 0
Скачайте Farbar Recovery Scan Tool
NAAC5Ba.png
и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
 
готово
 

Вложения

  • Addition.txt
    38 KB · Просмотры: 2
Лог FRST.txt не прислали
 
ой
беру файлик картинки переименовываю, убираю лишнее из расширения и он запускается.
 

Вложения

  • FRST.txt
    106 KB · Просмотры: 3
Последнее редактирование:
Да, печально, но и здесь намека на шифратора нет

А не найдется ли у Вас какого-либо оригинала одного из зашифрованных файлов значительного размера (например, картинки jpg) ?
 
я в субботу, по удаленке, работал из дома. Но на домашнем тоже все хорошо.

у меня есть постоянный IP, его использовал для подключения.

Ума не приложу как мог заразиться не пойму, хочеться узнать как, также сильно как и исправить.

ВОт побольше размер
 
Последнее редактирование:
Я просил незашифрованный оригинал

Ума не приложу как мог заразиться не пойму, хочеться узнать как
А пароль доступа небось простой до невозможности. В логах сервера посмотреть можно, что запускалось во время Вашего отсутствия?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу