Решена Зашифрованы файлы jpeg, xls, doc

Статус
В этой теме нельзя размещать новые ответы.

Kot-labot

Новый пользователь
Сообщения
8
Реакции
1
Доброе утро!
Такая проблема - подцепила вирус, который при загрузке мэйла или контакта перекидывал на страницу с запросом номера телефона. После лечения вируса обнаружилось, что ВСЕ картинки, файлы excel и word зашифрованы. Пробовала утилиты для расшифровки от касперского и drweb - ничего. Вирус скорее всего тоже никуда не делся, т.к. контакт работет криво и постоянно спамит(
Очень прошу помощи, на компе много важных файлов, к которым теперь нет доступа :(
 

Вложения

  • virusinfo_syscure.zip
    21.7 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    19.8 KB · Просмотры: 0
  • info.txt
    41 KB · Просмотры: 1
  • log.txt
    40.7 KB · Просмотры: 1
  • зашифрованные файлы.zip
    124.5 KB · Просмотры: 6
Приветствую Kot-labot, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 
Зашифрованные файлы разослал вирлабам.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ExecuteRepair(13);
RebootWindows(true);
end.

Компьютер перезагрузится.

Проверяйте доступ к контакту и меняйте пароль.

Если способ расшифровки станет доступен мы сообщим в этой теме

Добавлено через 24 минуты 48 секунд
Ответ от Dr.Web:

От кого: "Vladimir Martyanov via RT" <vms@drweb.com>
Сегодня, 11:48
Запустите ftp://ftp.drweb.com/pub/drweb/tools/te162decrypt.exe
 
С контактом теперь все впорядке. Спасибо большое! :thank_you2:

А с расшифровкой не вышло. Пишет, что были найдены зашифрованные файлы, но ключ расшифровки не подошёл...
 
Значит ждем еще)

Добавлено через 7 часов 18 минут 25 секунд
Очередной ответ Веб-а:

Ожидайте - в ближайшее время должна выйти новая версия утилиты.
Пока поищите оригинальную копию какого-либо из зашифрованных файлов, прикрепите ее здесь

Добавлено через 55 минут 7 секунд
Скачайте новую версию утилиты:
ftp://ftp.drweb.com/pub/drweb/tools/te162decrypt.exe
Перед запуском положите рядом с ней пару файлов - зашифрованный файл и его оригинал.

Если будут проблемы, сообщите номер ошибки, выдаваемый утилитой (либо пришлите несколько нерасшифрованных файлов).
 
1. Скачайте http://support.kaspersky.ru/faq/?qid=208638517
2. Скопируйте зашифрованные файлы в отдельную папку
3. Запустите так из командной строки
Код:
RectorDecryptor.exe -hanarp "a367cef249d821ee2ac9c3a03fff27363c7cdb8e7629155028dлe28f3e3d4cfba367cef249d821ee2ac9c3a03fff27363c7c"
 
ftp://ftp.drweb.com/pub/drweb/tools/te162decrypt.exe все расшифровал! :yess:
Спасибо вам большое, товарищи. Это так здорово, что есть такие умные люди как вы, котрые безвозмездно спасают таких не очень умных как я!:good2:

Ещё такой вопрос - не подскажете, как быстро удалить все зашифрованные файлы? Или вручную чистить?
 
Вручную, копии не удалялись по причине возможной неудачи расшифровки.

Давайте еще так проверимся:

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 
ёпрст, случайно установила именно пробную. При удалении и установки заново - так она и остается. Это очень нехорошо, или неважно?
 
Неважно, нам только проверится и удалить.
 
Все сделала)
 

Вложения

  • mbam-log-2012-10-22 (10-58-57).txt
    3.4 KB · Просмотры: 3
Удалите в МВАМ эту строку
C:\Documents and Settings\User\Application Data\Microsoft\taskhost.exe (Backdoor.Buterat) -> Действие не было предпринято.
Если сообщения Security Center заблокировали не сами, тогда удалите и эти строки
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
 
Строку C:\Documents and Settings\User\Application Data\Microsoft\taskhost.exe удалила и перезагрузилась. Остальные не трогала, т.к. сама до этого отключала microsoft security essentials.

Кстати, после перезагрузки, когда открыла оперу mbam опять обнаружил что-то нехорошее - RiskWare.Tool.ck File C:Windows\KMService.exe. Вопрос - это оставить в карантине и успокоиться?
 
  • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
  • Прикрепите файл к следующему сообщению.
Подробнее читайте в руководстве.
 
готово
 

Вложения

  • checkup.txt
    1.2 KB · Просмотры: 3
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу