Решена Зашифрованы файлы jpg, doc

Статус
В этой теме нельзя размещать новые ответы.

vmit

Пользователь
Сообщения
44
Реакции
2
Помогите пожалуйста... Не могу прикрепить файл, чтобы вам отправить. Пишет файл не является изображением... Компьютер проверили на вирусы, 16 штук удалены... не знаю был ли среди них искомый. Антивирусник Malwarebytes Anti-Malwer.
 

Ботан

Злостный спам-бот
Сообщения
1,069
Реакции
146
Приветствую vmit, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,287
Реакции
6,494
загрузите зашифрованный файл и оригинал сюда http://rghost.ru/ и выложите ссылку на скачивание.
 

vmit

Пользователь
Сообщения
44
Реакции
2
Высылаю все необходимое, зашифрованный файл и оригинал закачала по вышеуказанной ссылке. Спасибо.
 

Вложения

  • info.txt
    20.2 KB · Просмотры: 0
  • log.txt
    31.1 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    30.6 KB · Просмотры: 1
  • virusinfo_syscure.zip
    30.7 KB · Просмотры: 1

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,513
Реакции
5,699
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\admin\application data\microsoft\taskhost.exe');
 QuarantineFile('C:\WINDOWS.0\system32\mofbuwh.dll','');
 QuarantineFile('c:\documents and settings\admin\application data\microsoft\taskhost.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\lqkztsj.dll','');
 DeleteFile('C:\WINDOWS.0\system32\lqkztsj.dll');
 DeleteFile('C:\WINDOWS.0\system32\mofbuwh.dll');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\taskhost.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Сделайте повторный набор логов AVZ и RSIT

По зашифрованным файлам ждите ответа
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,513
Реакции
5,699
Скрипт - Карантин - Повторные логи

Зашифрованные файлы, как только у аналитиков будет рабочий день
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,938
Реакции
2,611
Почему с разными? у файлов одинковые расширения jpg
В первый раз была выложена картинка .png
Теперь все нормально

1. Скачайте http://support.kaspersky.ru/faq/?qid=208638517
2. Скопируйте зашифрованные файлы в отдельную папку
3. Запустите так из командной строки
Код:
RectorDecryptor.exe -hanarp "b9d4f42f637511dc33eeda45afeb51a27ec6e15aa02fc67564bc995e76eff7c4b9d4f42f637511dc33eeda45afeb51a27ec6"
 

vmit

Пользователь
Сообщения
44
Реакции
2
В первый раз была выложена картинка .png
Теперь все нормально

1. Скачайте http://support.kaspersky.ru/faq/?qid=208638517
2. Скопируйте зашифрованные файлы в отдельную папку
3. Запустите так из командной строки
Код:
RectorDecryptor.exe -hanarp "b9d4f42f637511dc33eeda45afeb51a27ec6e15aa02fc67564bc995e76eff7c4b9d4f42f637511dc33eeda45afeb51a27ec6"

А путь не надо в командной строке прописывать, где будет лежать программа RectorDecryptor.exe?
 

vmit

Пользователь
Сообщения
44
Реакции
2
:curtsey: Я вас обожаю!!! Получилось!!! Ура, ура!!!! Спасибо большое.... И не знаю чем благодарить!!!! Завтра пришлю все остальное, что просили....
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,513
Реакции
5,699
Это надо выполнить чем быстрее тем лучше - сам троян-загрузчик не убит и завтра можете проснуться с вновь пошифрованными файлами - уже другим трояном, от которого лекарства может и не быть!!!
 

vmit

Пользователь
Сообщения
44
Реакции
2
письмо

письмо отправила на почту
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,513
Реакции
5,699
Надо было все кроме карантина сюда прикрепить вот так:
 

Вложения

  • virusinfo_syscure.zip
    24.3 KB · Просмотры: 0
Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,513
Реакции
5,699
AV: Spyware Doctor with AntiVirus
AV: ESET NOD32 Antivirus 4.0 (устарело)

Spyware Doctor - не очень подходит для российских реалий - деинсталлируйте.

ESET NOD32 Antivirus - обновите, либо деинсталлируйте и поставьте любой другой антивирус, можно даже бесплатный

Malwarebytes Anti-Malware - обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

_____________________________________________________


  • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
  • Прикрепите файл к следующему сообщению.
Подробнее читайте в руководстве.
 

vmit

Пользователь
Сообщения
44
Реакции
2
Вот!

Вот чего получилось
 

Вложения

  • checkup.txt
    1.1 KB · Просмотры: 2
  • mbam-log-2012-10-22 (14-03-58).txt
    5.2 KB · Просмотры: 3

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,513
Реакции
5,699
Обновите:

Java(TM) 6 Update 17
Java version out of Date!

Java SE

Повторите сканирование в MBAM и удалите только следующее:

Код:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Taskhost (Trojan.MSIL) -> Параметры: C:\Documents and Settings\Admin\Application Data\Microsoft\taskhost.exe -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\Microsoft\taskhost.exe (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS.0\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.

Сделайте новый лог MBAM
 

vmit

Пользователь
Сообщения
44
Реакции
2
Просканировала еще раз...
 

Вложения

  • protection-log-2012-10-22.txt
    11.4 KB · Просмотры: 2
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу