 |
|
|
16.09.2015, 14:17
|
#1 (ссылка) |
|
Новичок
Регистрация: 13.05.2013
Сообщений: 798
Репутация: 48
|
Баннер вымогатель
Доброго времени суток! Принесли бук почистить, на нем висит баннер такого вида
 по сути систему он не повешал,в процессах ничего не видно, грузится нормально. Проблема в том, что эта гадость переименовала все файлы тхт и jpg формата в cbf и присвоила им рандомное имя, восстановление отключено естественно, точек нет) Возможно ли вернуть все фотки и документы обратно? Предыстория: пришло на мыло письмо, письмо открыли и поймали вот это. Hosts чистый. Пока ничего не предпринимал. |
|
|
16.09.2015, 14:33
|
#2 (ссылка) |
|
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
Shadowmaster,
это шифратор поработал. вопрос: когда было шифрование? и не помешает сделать образ автозапуска, чтобы не задавать еще вопросов. http://pchelpforum.ru/showpost.php?p=293738&postcount=2 |
|
|
|
16.09.2015, 18:06
|
#4 (ссылка) |
|
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
Вируса уже нет.
1) Скопировать текст КОДА - в буфер обмена. uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена. ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ! ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку ! Код:
;uVS v3.86.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c delref HTTP://R.MAIL.RU/CLN10362/ODNOKLASSNIKI.RU delref HTTP://WWW.MEGAPAGE.COM/?AID=1&SID=5 delref HTTP=127.0.0.1:2080 deldir %SystemDrive%\PROGRAM FILES (X86)\ASK.COM delref HTTP:\\START.WEBALTA.RU\?START delall %SystemDrive%\USERS\АНЮТА\APPDATA\LOCAL\SKYMONK2\SKYMONK2.EXE deldir %SystemDrive%\USERS\АНЮТА\APPDATA\LOCAL\SKYMONK2 delall %SystemDrive%\USERS\АНЮТА\APPDATA\LOCAL\TEMP\ICREINSTALL_DOWNLOADMANAGERSETUP.EXE del %SystemDrive%\USERS\АНЮТА\APPDATA\LOCAL\OPERA\OPERA\WIDGETS\ALAWAR.OEX delall %SystemDrive%\USERS\АНЮТА\APPDATA\LOCAL\OPERA\OPERA\WIDGETS\ALAWAR.OEX delref %SystemDrive%\USERS\АНЮТА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\IAPDADAEAEBAOIGIEGLFABABNEOAIFNF\0.9.0.2_0\EVERYSALE.NET delref %SystemDrive%\USERS\АНЮТА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NHGCIEGLCPDEGKHAMIGIOKDPHFHHNLHH\3.6.2_0\HTML5 LOCATION PROVIDER restart Windows 7 Ultimate x64 (NT v6.1 SP1) build 7601 Service Pack 1 данных прочтите: http://pchelpforum.ru/f26/t141222/2/#post1239143 А та нужно обращаться в антивирусные компании. |
|
|
|
16.09.2015, 21:20
|
#5 (ссылка) |
|
Новичок
Регистрация: 13.05.2013
Сообщений: 798
Репутация: 48
|
Спасибо, бук почищен. Теперь только осталось найти дешифровальщик. Вряд ли хозяева будут покупать вэб или каспер,а вот мне походу придется поискать его в свободном доступе, благо он вообще есть для этой версии...
|
|
|
|
16.09.2015, 21:32
|
#6 (ссылка) |
|
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
залейте пару зашифрованных файлов на http://rghost.ru
по поводу расшифровки. дешифраторы возможно и есть в природе, но кроме дешифратора нужен еще и ключ. Если у кого то есть еще и база с ключами по данному варианту дешифратора, тогда да... расшифровка возможна. ЛИбо зависит от версии шифратора cbf. (некоторые версии были успешно расшифрованы на ВирусИнфо) |
|
|
| Ads | |
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Баннер вымогатель | foto-s | Безопасность | 7 | 19.04.2014 16:33 |
| Баннер-вымогатель! | Базаров | Безопасность | 28 | 18.01.2014 17:29 |
| Баннер вымогатель | gavson | Безопасность | 6 | 31.01.2013 15:28 |
| Баннер-вымогатель | Saida | Безопасность | 3 | 17.12.2011 15:13 |
| про баннер-вымогатель | rama | Безопасность | 39 | 08.02.2011 21:16 |
