Компьютерный форум

Компьютерный форум (http://pchelpforum.ru/index.php)
-   Безопасность (http://pchelpforum.ru/forumdisplay.php?f=26)
-   -   Вирус "все файлы зашифрованы" (http://pchelpforum.ru/showthread.php?t=141344)

foto-s 29.09.2014 13:30
Вирус "все файлы зашифрованы"
 
Большинство документов на компе сменили иконку на "фантомаса" и были переименованы
примерно так "Выписка не откр..odt.id-{GIJKLMNOPPQRSTTUVWXXYYZABCCDEFGHHIJK-29.09.2014 8@53@391417734}-email-masfantomas@aol.com-ver-4.0.0.0" при запуске выдают сообщение, что все файлы зашифрованы.
UVs

---------- Добавлено в 12:30 ---------- Предыдущее сообщение было написано в 11:19 ----------

И лог AVZ

safety 29.09.2014 13:32
для очистки системы выполните скрипт в uVS

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:

;uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\TEMP\WINRAR.EXE
addsgn 1A58D19A5583C58CF42B627DA804DEC9E94677A2ADF69434A1C7406E24BF428CA953E75FBA95E85FAA7A049F46163BF4FEE2E8370CDAB058289EB288C70675F8 8 Win32/Filecoder.CQ [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES\WINRAR\WINRAR\OOPS.EXE
addsgn A7679B19919AF4FA5896AE59403AEFFA9D42A8B4891235647B3C4EA9105E334CAA1548427EDDDF49A09225D7CE544912990C178DDECFF0A46F772F3D66DAA531 9 Trojan.BtcMine.142 [DrWeb]

;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://START.TICNO.COM

delref HTTP://WWW.SMAXXI.BIZ

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
перезагрузка, пишем о старых и новых проблемах.
архив (например: ZOO_2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту safety@chklst.ru, sendvirus2011@gmail.com
далее,
выполните сканирование (угроз) в Malwarebytes
----------
по расшифровке документов обратитесь в вирлаб, если антивирус установлен с лицензией.
+
выложите пару зашифрованных документов по ссылке на http://rghost.ru
+
обратите внимание, что судя по образу шифратор еще продолжает висеть в памяти, возможно еще не все документы зашифровал.

foto-s 29.09.2014 14:01
архив на почту сбросил
это файлик зашифрованый
и еще один

Malwarebytes ничего не нашел
картинка "фантомаса" сохранилась

safety 29.09.2014 14:37
добавьте новый образ автозапуска

foto-s 29.09.2014 14:47
UVs дубль

safety 29.09.2014 14:58
первый скрипт был выполнен? добавьте логи выполнения скрипта.
это файл из папки uVS с именем дата_времяlog.txt

foto-s 29.09.2014 15:02
кажись этот http://rghost.ru/private/58261864/0e...f84a8da21262c8

p/s он вроде не зашифрован...

safety 29.09.2014 15:14
лог был создан уже после завершения работы шифратора.
потому не зашифрован.

сделайте проверку в АдвКлинере
http://pchelpforum.ru/f26/t24207/2/#post1110672

foto-s 29.09.2014 15:54
найдено только это
уже удалил

Код:
Mozilla Firefox v
[ Файл : C:\Users\пользователь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\prefs.js ]

Google Chrome v
[ Файл : C:\Users\пользователь\AppData\Local\Google\Chrome\User Data\Default\preferences ]

safety 29.09.2014 17:06
эти стартовые в браузерах остались?

Цитата:
хттп://START.TICNO.COM

хттп://WWW.SMAXXI.BIZ

safety 29.09.2014 17:16
по расшифровке:
поищите тему в Гугле
masfantomas@aol.com
возможно, кто-то на белом свете знает как их расшифровать.

foto-s 29.09.2014 17:37
Спасибо. уже рою... пока, увы, пусто

CrazyPOVT 29.09.2014 18:33
Попробуй эти утилитки прогнать:
http://support.kaspersky.ru/viruses/...on/2911#block2
http://support.kaspersky.ru/viruses/...on/4264#block2

У меня как-то тоже файлы вируснёй шифровались (какие-то нигеры толстогубые на "быстрых фрегатах напали на мой компьютер", требовали биткоины). Лечил какой-то из этих утилит, правда месяца два-три ждал, когда добавят в утилиту расшифровщик именно для моего случая.

safety 29.09.2014 18:43
CrazyPOVT, файлы выложены по ссылке, скачайте проверите те декрипторы, которые вы предлагаете. затем уже можно предлагать здесь в теме.

mike 1 01.10.2014 16:46
Цитата:
Сообщение от CrazyPOVT (Сообщение 1219997)
Попробуй эти утилитки прогнать:
http://support.kaspersky.ru/viruses/...on/2911#block2
http://support.kaspersky.ru/viruses/...on/4264#block2

У меня как-то тоже файлы вируснёй шифровались (какие-то нигеры толстогубые на "быстрых фрегатах напали на мой компьютер", требовали биткоины). Лечил какой-то из этих утилит, правда месяца два-три ждал, когда добавят в утилиту расшифровщик именно для моего случая.
Эти утилиты вообще не предназначены для расшифровки файлов зашифрованных шифратором Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).

4 версия Trojan.Encoder.567 не поддается расшифровке потому что она специально была так написана автором этого шифратора, чтобы ее не брал ни один декриптор.


Текущее время: 11:14. Часовой пояс GMT +4.

Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2026, vBulletin Solutions, Inc. Перевод: zCarot
Copyright ©2007-2016, PCHelpForum.ru.