15.01.2015, 22:27 | #1 (ссылка) |
Новичок
Регистрация: 15.01.2015
Сообщений: 6
Репутация: 0
|
Словил шифратор в формат .xtbl
Пакостник закодировал файлы с определёнными расширениями. В основном всякое медиа: фильмы, музыка. Текстовые не тронул. Закодировал не везде: рядом папки с MP3 и подпортил не все. Не успел? Ещё успеет?
Дешифратор найти не смог – ощущение, что гадость новая. Касперские декрипторы не справились. Сейчас подчищаю систему свежим Каспером Ремувбл Тул. Достаточно ли чтобы убить вирус? Что сейчас потерял – ерунда. Главное, чтобы на архивы не прыгнул. А может и разкодировать всё-таки можно? Спасибо. |
15.01.2015, 22:53 | #2 (ссылка) | |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
1) Если есть подозрение, что вирус до сих пор в системе и продолжает шифровать файлы...
Работайте на PC ТОЛЬКО в безопасном режиме системы с поддержкой сетевых драйверов. ( чтобы не дать зашифровать оставшиеся файлы ) 2) Для того, чтобы найти вирус. Вниманию пришедших за помощью! http://pchelpforum.ru/f26/t6442/ Нужен образ автозапуска в программе uVS !!!! Обновите программу до версии: uVS 3.85.3 http://rghost.ru/59329776 Цитата:
|
|
16.01.2015, 02:11 | #3 (ссылка) |
Новичок
Регистрация: 15.01.2015
Сообщений: 6
Репутация: 0
|
Антивирусом подчистил и похоже, что виря долбанул.
Но по инструкции лог всё равно сделал. Вот: http://rghost.ru/60373275 Если б ещё сам в нём разбирался... |
16.01.2015, 06:48 | #4 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
шифратора в процессах и автозапуске нет. (уже)
выложите на обмен несколько зашифрованных файлов. выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\BABSOLUTION\SHARED\BABMAINT.EXE addsgn A7679B1BB95244720BE76ED7ED4DEAF8DA75CF3FEF7392887E3C3A8F82B0F8D9CBEE3CA8B3D065B4D47FD4F5467C499067B5E88D409E906C2DFA29D73AF9DD22 8 Adware.Babylon.12 [DrWeb] zoo %SystemDrive%\PROGRAM FILES\DELTA\DELTA\1.8.21.5\DELTASRV.EXE addsgn 1A1EFD9A5583C58CF42B254E3143FE86C99AAB09FCEA9235752B215CAF29FA312B923C2219BDA05D2B80439F501649FA9586FF72555ACDD02D03A3A482FEA113 8 Adware.Toolbar.205 [DrWeb] zoo %SystemDrive%\PROGRAM FILES\DELTA\DELTA\1.8.21.5\DELTAENG.DLL addsgn 79132211B9E9317E0AA1AB59C2531205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5C35FD39F46E93CEAFE1FC822AAAFBCD3587F4C3D5B0622F0 64 a variant of Win32/Toolbar.Montiera.A zoo %SystemDrive%\PROGRAM FILES\DELTA\DELTA\1.8.21.5\DELTAAPP.DLL addsgn 79132211B9E9317E0AA1AB597AA91205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5A0410FD24ED149DA01DCF8F95C53F828EB37AC2F9AC42A73 64 Adware.Toolbar.205 [DrWeb] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\CPPREDISTX86.EXE addsgn A7679B19919A7FB282915E09D8515105CDAD530A76C9DF2DED6758FF50B28E7C479EE3DA6BA525482B80847766D9B505F69A18C8ED47F32CC51432D338733A19 8 Win32/CoinMiner.SX [ESET-NOD32] delall %SystemDrive%\PROGRAM FILES\DELTA\DELTA\1.8.21.5\BH\DELTA.DLL hide %Sys32%\CPLDAPU\BLUESCREENVIEW.EXE ;------------------------autoscript--------------------------- sreg chklst delvir delref HTTP://WWW1.DELTA-SEARCH.COM/?BABSRC=NT_SS&MNTRID=C41D5CD998F55D88&AFFID=122460&TT=110713_9126&TSP=4942 delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref %Sys32%\DRIVERS\{5178F938-0BD5-47C1-8242-71F6E3E72925}GT.SYS del %Sys32%\DRIVERS\{5178F938-0BD5-47C1-8242-71F6E3E72925}GT.SYS regt 28 regt 29 ; Deal Keeper exec C:\Program Files\Deal Keeper\DealKeeperuninstall.exe ; OpenAL exec C:\Program Files\OpenAL\oalinst.exe" /U ; sweet-page uninstall exec C:\Documents and Settings\Admin\Application Data\sweet-page\UninstallManager.exe -ptid=cor ; WebSecurity Extension version 16.40 exec C:\Program Files\Microsoft Data\unins000.exe deltmp delnfr areg ;------------------------------------------------------------- restart ---------- далее, выполните сканирование (угроз) в Malwarebytes Последний раз редактировалось safety; 16.01.2015 в 07:15. |
16.01.2015, 11:29 | #5 (ссылка) |
Новичок
Регистрация: 15.01.2015
Сообщений: 6
Репутация: 0
|
Процесс лечения продолжу чуть позднее. Пока архивчик с тремя закодированными файлами. Изначально были mp3
http://rghost.ru/60376398 Судя по общим процессам, они сами по себе не заразны. |
16.01.2015, 11:50 | #6 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
видимо так. в отличие от нового семейства шифраторов. Virlock.
http://habrahabr.ru/company/eset/blog/247267/ |
16.01.2015, 21:09 | #7 (ссылка) |
Новичок
Регистрация: 15.01.2015
Сообщений: 6
Репутация: 0
|
Просканировал Марвелом
Лог: http://rghost.ru/private/60387519/8b...8f2587b23d6c78 Так понимаю, все ЕЩЁ обнаруженные угрозы надо в карантин. |
16.01.2015, 21:11 | #8 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
1) В Malwarebytes - всё найденное удалите.
( поместите в карантин ) -------- 2) Далее: Выполните лог в АdwСleaner http://pchelpforum.ru/f26/t24207/2/#post1110672 после завершения сканирования: Записи относящиеся к Mail.Ru можете не удалять ( если пользуетесь программой ) На вкладке: Папки (Folders) для Mail.Ru снимите [V] Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие с автоперезагрузкой 3) Браузер расширения. В адресной строке браузера пропишите: для Яндекс браузер: browser://extensions/ ХРОМ: chrome://extensions/ Опера: opera://extensions Firefox: about:addons nternet Explorer: Зайти в раздел настроек браузера, выбрать меню "Настроить надстройки": В открывшемся окне кликните на расширение. Откроется список расширений браузера. Отключите все расширения кроме: Flash ( Adobe Systems ) и Kaspersky * Если возникнет необходимость потом их можно включить. Оцените результат. |
Ads | |
16.01.2015, 21:52 | #9 (ссылка) |
Новичок
Регистрация: 15.01.2015
Сообщений: 6
Репутация: 0
|
Ну, так полагаю, всё ненужное на фиг.
Процедуры проделал. Осталось поиском повылавливать закодированные файлы и отследить, какие элементы придётся искать заново или переустанавливать. Кстати, для информации. Вирус не тронул только задействованный системный диск. По всем остальным прошёлся. В частности, у меня стояла вторая (резервная) Винда на отдельном локальном диске и он её попортил. Спасибо за помощь. Алгоритм крайне полезн и не только для меня. Пойду поделюсь. |
16.01.2015, 22:01 | #10 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
Хорошо.
Далее. закрываем уязвимости Программу AVZ можно скачать здесь: https://yadi.sk/d/1oRfN6gh2gbxf Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. --------- Рекомендации Часто в комплекте с основной программой идут дополнения. При установке ВСЕХ программ нужно включать расширенный режим установки. И отказываться от установки дополнительных программы ( в большинстве случаев это Adware = рекламные блоки ) -- В антивирусе включить обнаружение потенциально нежелательных/опасных программ. -- Перед установкой программы читать о ней отзывы. -- По возможности проверять программу здесь: https://www.virustotal.com/ * Если позволяет вес программы. + Возможно вас заинтересует тема: http://pchelpforum.ru/f26/t141222/ |
16.01.2015, 23:26 | #11 (ссылка) | |
Новичок
Регистрация: 15.01.2015
Сообщений: 6
Репутация: 0
|
Цитата:
Правда с обновлениями не так всё просто, поскольку ХР, а под них делают всё меньше и меньше. |
|
19.01.2015, 23:19 | #14 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
1) Если были копии фотографий, или документов которые вы по той, или иной причине сами удалили
Можно попробовать и восстановить некоторые фотографии. Для этого воспользуйтесь программами восстановления данных. 2) При наличие платной версии антивируса - можно обратиться за тех. поддержкой. В ряде случаев могут помочь - но особо на это надеяться не стоит. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Шифратор ! | Muhas PRO | Веб-строительство | 0 | 20.08.2013 22:10 |
Ручной формат листа при конвертации в формат *.CSD (CSDWriter2008) | barsikline | Графика | 0 | 12.08.2012 12:37 |
словил блокиратор | slashboy | Безопасность | 20 | 16.04.2012 19:10 |
Словил вирус | PASAHAKA | Безопасность | 1 | 13.01.2012 16:43 |
Словил Carberp.ad | Alex2011 | Безопасность | 5 | 22.12.2011 19:03 |