Вирус "все файлы зашифрованы"

foto-s · 29.09.2014, 13:30

Большинство документов на компе сменили иконку на "фантомаса" и были переименованы
примерно так "Выписка не откр..odt.id-{GIJKLMNOPPQRSTTUVWXXYYZABCCDEFGHHIJK-29.09.2014 8@53@391417734}-email-masfantomas@aol.com-ver-4.0.0.0" при запуске выдают сообщение, что все файлы зашифрованы.
UVs

---------- Добавлено в 12:30 ---------- Предыдущее сообщение было написано в 11:19 ----------

И лог AVZ

safety · 29.09.2014, 13:32

для очистки системы выполните скрипт в uVS

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\TEMP\WINRAR.EXE
addsgn 1A58D19A5583C58CF42B627DA804DEC9E94677A2ADF69434A1C7406E24BF428CA953E75FBA95E85FAA7A049F46163BF4FEE2E8370CDAB058289EB288C70675F8 8 Win32/Filecoder.CQ [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES\WINRAR\WINRAR\OOPS.EXE
addsgn A7679B19919AF4FA5896AE59403AEFFA9D42A8B4891235647B3C4EA9105E334CAA1548427EDDDF49A09225D7CE544912990C178DDECFF0A46F772F3D66DAA531 9 Trojan.BtcMine.142 [DrWeb]

;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://START.TICNO.COM

delref HTTP://WWW.SMAXXI.BIZ

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: ZOO_2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту safety@chklst.ru, sendvirus2011@gmail.com
далее,
выполните сканирование (угроз) в Malwarebytes
----------
по расшифровке документов обратитесь в вирлаб, если антивирус установлен с лицензией.
+
выложите пару зашифрованных документов по ссылке на http://rghost.ru
+
обратите внимание, что судя по образу шифратор еще продолжает висеть в памяти, возможно еще не все документы зашифровал.

foto-s · 29.09.2014, 14:01

архив на почту сбросил
это файлик зашифрованый
и еще один

Malwarebytes ничего не нашел
картинка "фантомаса" сохранилась

safety · 29.09.2014, 14:37

добавьте новый образ автозапуска

foto-s · 29.09.2014, 14:47

UVs дубль

safety · 29.09.2014, 14:58

первый скрипт был выполнен? добавьте логи выполнения скрипта.
это файл из папки uVS с именем дата_времяlog.txt

foto-s · 29.09.2014, 15:02

кажись этот http://rghost.ru/private/58261864/0e...f84a8da21262c8

p/s он вроде не зашифрован...

safety · 29.09.2014, 15:14

лог был создан уже после завершения работы шифратора.
потому не зашифрован.

сделайте проверку в АдвКлинере
http://pchelpforum.ru/f26/t24207/2/#post1110672

foto-s · 29.09.2014, 15:54

найдено только это
уже удалил

Код:

Mozilla Firefox v
[ Файл : C:\Users\пользователь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\prefs.js ]

Google Chrome v
[ Файл : C:\Users\пользователь\AppData\Local\Google\Chrome\User Data\Default\preferences ]

safety · 29.09.2014, 17:06

эти стартовые в браузерах остались?

Цитата:

хттп://START.TICNO.COM

хттп://WWW.SMAXXI.BIZ

safety · 29.09.2014, 17:16

по расшифровке:
поищите тему в Гугле
masfantomas@aol.com
возможно, кто-то на белом свете знает как их расшифровать.

foto-s · 29.09.2014, 17:37

Спасибо. уже рою... пока, увы, пусто

CrazyPOVT · 29.09.2014, 18:33

Попробуй эти утилитки прогнать:
http://support.kaspersky.ru/viruses/...on/2911#block2
http://support.kaspersky.ru/viruses/...on/4264#block2

У меня как-то тоже файлы вируснёй шифровались (какие-то нигеры толстогубые на "быстрых фрегатах напали на мой компьютер", требовали биткоины). Лечил какой-то из этих утилит, правда месяца два-три ждал, когда добавят в утилиту расшифровщик именно для моего случая.

safety · 29.09.2014, 18:43

CrazyPOVT, файлы выложены по ссылке, скачайте проверите те декрипторы, которые вы предлагаете. затем уже можно предлагать здесь в теме.

mike 1 · 01.10.2014, 16:46

Цитата:

Сообщение от CrazyPOVT

Попробуй эти утилитки прогнать:
http://support.kaspersky.ru/viruses/...on/2911#block2
http://support.kaspersky.ru/viruses/...on/4264#block2

У меня как-то тоже файлы вируснёй шифровались (какие-то нигеры толстогубые на "быстрых фрегатах напали на мой компьютер", требовали биткоины). Лечил какой-то из этих утилит, правда месяца два-три ждал, когда добавят в утилиту расшифровщик именно для моего случая.

Эти утилиты вообще не предназначены для расшифровки файлов зашифрованных шифратором Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).

4 версия Trojan.Encoder.567 не поддается расшифровке потому что она специально была так написана автором этого шифратора, чтобы ее не брал ни один декриптор.

29.09.2014, 13:30	#1
foto-s Новичок Регистрация: 25.04.2012 Сообщений: 251 Репутация: 0	Вирус "все файлы зашифрованы" Большинство документов на компе сменили иконку на "фантомаса" и были переименованы примерно так "Выписка не откр..odt.id-{GIJKLMNOPPQRSTTUVWXXYYZABCCDEFGHHIJK-29.09.2014 8@53@391417734}-email-masfantomas@aol.com-ver-4.0.0.0" при запуске выдают сообщение, что все файлы зашифрованы. UVs ---------- Добавлено в 12:30 ---------- Предыдущее сообщение было написано в 11:19 ---------- И лог AVZ

29.09.2014, 13:32	#2
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	для очистки системы выполните скрипт в uVS выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.83.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v383c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES\TEMP\WINRAR.EXE addsgn 1A58D19A5583C58CF42B627DA804DEC9E94677A2ADF69434A1C7406E24BF428CA953E75FBA95E85FAA7A049F46163BF4FEE2E8370CDAB058289EB288C70675F8 8 Win32/Filecoder.CQ [ESET-NOD32] zoo %SystemDrive%\PROGRAM FILES\WINRAR\WINRAR\OOPS.EXE addsgn A7679B19919AF4FA5896AE59403AEFFA9D42A8B4891235647B3C4EA9105E334CAA1548427EDDDF49A09225D7CE544912990C178DDECFF0A46F772F3D66DAA531 9 Trojan.BtcMine.142 [DrWeb] ;------------------------autoscript--------------------------- chklst delvir delref HTTP://START.TICNO.COM delref HTTP://WWW.SMAXXI.BIZ deltmp delnfr ;------------------------------------------------------------- czoo restart перезагрузка, пишем о старых и новых проблемах. архив (например: ZOO_2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту safety@chklst.ru, sendvirus2011@gmail.com далее, выполните сканирование (угроз) в Malwarebytes ---------- по расшифровке документов обратитесь в вирлаб, если антивирус установлен с лицензией. + выложите пару зашифрованных документов по ссылке на http://rghost.ru + обратите внимание, что судя по образу шифратор еще продолжает висеть в памяти, возможно еще не все документы зашифровал. Последний раз редактировалось safety; 29.09.2014 в 14:37.

29.09.2014, 14:01	#3
foto-s Новичок Регистрация: 25.04.2012 Сообщений: 251 Репутация: 0	архив на почту сбросил это файлик зашифрованый и еще один Malwarebytes ничего не нашел картинка "фантомаса" сохранилась Последний раз редактировалось foto-s; 29.09.2014 в 14:11.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Как "заставить" Win7 понимать ".mkv"-файлы?	Kirilltravykyril	Windows 7	19	27.08.2011 21:31
команда "открыть" выполняется как "удалить"-это вирус или глюки железа?	zemlychok	Неисправности, настройка	2	27.08.2011 00:54
Подхватила вирус, не могу зайти в "вконтакте" и "одноклассники"	KaterrrinaM	Безопасность	6	22.06.2011 14:00
Инструкция по адресу "0x436b10f" обратилась к памяти "0x03793dac". Вирус?	skazka	Windows XP	12	23.03.2010 04:11
какая программа открывает файлы с расширением "z0" "z01"	karangor	Утилиты	1	27.10.2009 00:47

29.09.2014, 14:37	#4
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	добавьте новый образ автозапуска

29.09.2014, 14:47	#5
foto-s Новичок Регистрация: 25.04.2012 Сообщений: 251 Репутация: 0	UVs дубль

29.09.2014, 14:58	#6
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	первый скрипт был выполнен? добавьте логи выполнения скрипта. это файл из папки uVS с именем дата_времяlog.txt

29.09.2014, 15:02	#7
foto-s Новичок Регистрация: 25.04.2012 Сообщений: 251 Репутация: 0	кажись этот http://rghost.ru/private/58261864/0e...f84a8da21262c8 p/s он вроде не зашифрован...

29.09.2014, 15:14	#8
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	лог был создан уже после завершения работы шифратора. потому не зашифрован. сделайте проверку в АдвКлинере http://pchelpforum.ru/f26/t24207/2/#post1110672

29.09.2014, 17:16	#11
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	по расшифровке: поищите тему в Гугле masfantomas@aol.com возможно, кто-то на белом свете знает как их расшифровать.

29.09.2014, 17:37	#12
foto-s Новичок Регистрация: 25.04.2012 Сообщений: 251 Репутация: 0	Спасибо. уже рою... пока, увы, пусто

29.09.2014, 18:33	#13
CrazyPOVT Стажёр Регистрация: 05.11.2011 Сообщений: 1,527 Репутация: 128	Попробуй эти утилитки прогнать: http://support.kaspersky.ru/viruses/...on/2911#block2 http://support.kaspersky.ru/viruses/...on/4264#block2 У меня как-то тоже файлы вируснёй шифровались (какие-то нигеры толстогубые на "быстрых фрегатах напали на мой компьютер", требовали биткоины). Лечил какой-то из этих утилит, правда месяца два-три ждал, когда добавят в утилиту расшифровщик именно для моего случая.

29.09.2014, 18:43	#14
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	CrazyPOVT, файлы выложены по ссылке, скачайте проверите те декрипторы, которые вы предлагаете. затем уже можно предлагать здесь в теме.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads