Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Хочу все знать (http://forum.oszone.net/forumdisplay.php?f=23)
-   -   Вирус зашифровал файлы (http://forum.oszone.net/showthread.php?t=244169)

totaleclypse@vk 08-10-2012 13:22 2001340
Вирус зашифровал файлы
 
Вложений: 1
Добрый день.
Вчера мне принесли компьютер, где зашифрованы пользовательские файлы. На рабочем столе висит картинка с текстом "Ваши файлы заблокированы вирусом Для разблокировки пишите сюда svchost@london.com Вашему случаю присвоен ID0 5 4 Сообщите его на почту без него восстановление будет затруднительно".. Впервые сталкиваюсь с подобным вирусом. Интернета на компе нет - DHCP вырублен, при попытке зайти в центр управления сетями пишет что не удалось запустить дочернюю службу. Пытался ручками запустить dhcp, не запускается, пишет типа что нет прав. Разумеется, под учёткой админа.
Помогите пожалуйста расшифровать файлы!
Вот два из них http://dump.ru/file/5871933

topotun32 08-10-2012 13:28 2001343
Может никто ничего не шифровал, а на компьютере очередная инкарнация баннера?
Антивирус есть на машине?

totaleclypse@vk 08-10-2012 13:41 2001347
Был, АВГ2011, я ещё Malwarebytes просканировал, тот нашёл 10 объектов, причём что интересно - несколько из них было в c:\program files\winrar.inc\Архив WinRaR, один из файлов называется free_update.exe, другой mmm.bat, в нём del svchost.exe

topotun32 08-10-2012 14:10 2001367
советую скачать Kaspersky Rescue Disk 10 (ссылка) и проверить ПК, загрузившись с livecd.

Цитата:
Цитата totaleclypse@vk
я ещё Malwarebytes просканировал »
хорошая программа, выручает часто, главное обновлять постоянно

totaleclypse@vk 08-10-2012 14:15 2001371
Спасибо. Эх, мне б файлы расшифровать :( Систему снесу нафиг, как только расшифрую. Насколько я понимаю, расшифровка невозможна без тела вируса?

topotun32 08-10-2012 14:21 2001372
Проверьте вышеуказанной программой, а там видно будет
Плюс здесь же на форуме есть раздел посвященный именно борьбе со всякой "заразой" (вот ссылка ). Попробуйте туда обратиться.

yurfed 08-10-2012 14:49 2001391
Цитата:
Цитата totaleclypse@vk
Интернета на компе нет - DHCP вырублен, »
Это очередная бодяга? Вспомните ваши последние действия на предмет установки.
Цитата:
Цитата totaleclypse@vk
Эх, мне б файлы расшифровать »
дайте пару файлов сюда, если возможно и на ссылку в какой программе создавались. Может ларчик намного проще?

topotun32 08-10-2012 14:57 2001394
Цитата:
Цитата yurfed
дайте пару файлов сюда, если возможно и на ссылку в какой программе создавались »
в шапке

totaleclypse@vk 08-10-2012 16:12 2001436
Там походу не в DHCP дело, а вообще в винсоке. Резет через netsh винсока и интерфейсов не помог.

totaleclypse@vk 08-10-2012 17:41 2001492
Нашёл тело вируса!
http://dump.ru/file/5872118
Помогите кто-нибудь с расшифровкой, плиз!

Вирус был скачан вот отсюда: https://dl.dropbox.com/u/110463054/m...clientid54.rar
Распостраняется через емэйл. Письмо от коллекторского агенства с угрозами :)

Rezor666 08-10-2012 17:56 2001502
Вам в раздел в лечения.

yurfed 08-10-2012 20:51 2001605
Цитата:
Цитата Rezor666
Вам в раздел в лечения. »
Это файлам уже не поможет.
totaleclypse@vk, поковыряюсь, но ни чего не обещаю.

Sphinx114 08-10-2012 23:17 2001719
totaleclypse@vk, посмотрел я твои файлы хекс редактором. Они не зашифрованы, они грубо испорчены. Далее запустил в sandboxie твой вирус, также чисто в виртуалке запускал. Внутри него 2 экзешника, они распаковались в C:\Program Files\WinRaR.inc\Архив WinRaR и запустились. В C:\Documents and Settings\<user>\Главное меню\Программы\Автозагрузка добавлено напоминание.txt. И это всё. Системные файлы вроде не модифицированы. Информации для восстановления файлов нигде нет (маловероятно что она внутри файла). Пораскидал по системе jpg, но вирус почемуто ничего не испортил :(

Как вы эти вирусы цепляете? Уж сколько времени система и браузер не обновляется, антивиря нет, флеш, скрипты, всё включено, сижу под админом... и ни одного виря.
Цитата:
Цитата totaleclypse@vk
mmm.bat »
Нету такого. Вот какие изменения в реестре показала песочница:
читать дальше »
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\123]

[HKEY_LOCAL_MACHINE\123\machine]

[HKEY_LOCAL_MACHINE\123\machine\software]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes\AppID]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes\CLSID]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes\CompressedFolder]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes\CompressedFolder\shell]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes\CompressedFolder\shell\open]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes\CompressedFolder\shell\open\ddeexec]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\COM3]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\ole]
"EnableDCOM"="N"

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion\Explorer]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket]
"NukeOnDelete"=dword:00000001
"UseGlobalSettings"=dword:00000001

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"Common Start Menu"="C:\\Documents and Settings\\All Users\\Главное меню"
"Common Desktop"="C:\\Documents and Settings\\All Users\\Рабочий стол"
"Common Documents"="C:\\Documents and Settings\\All Users\\Документы"

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion\Uninstall]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion\Uninstall\Архив WinRaR 3.5]
"DisplayName"="Архив WinRaR 3.5"
"DisplayVersion"="3.5"
"VersionMajor"=dword:00000003
"VersionMinor"=dword:00000005
"Publisher"="WinRaR.inc"
"DisplayIcon"="C:\\Program Files\\WinRaR.inc\\Архив WinRaR\\Uninstall.exe"
"UninstallString"="C:\\Program Files\\WinRaR.inc\\Архив WinRaR\\Uninstall.exe"
"InstallLocation"="C:\\Program Files\\WinRaR.inc\\Архив WinRaR\\"
"InstallSource"="C:\\Documents and Settings\\Win XP\\Рабочий стол\\"
"InstallDate"="20121008"
"Language"=dword:00000419
"EstimatedSize"=dword:00000478
"NoModify"=dword:00000001
"NoRepair"=dword:00000001

[HKEY_LOCAL_MACHINE\123\machine\software\Policies]

[HKEY_LOCAL_MACHINE\123\machine\system]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Control]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Control\MediaProperties]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Control\MediaProperties\PrivateProperties]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Control\MediaProperties\PrivateProperties\Jo ystick]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Control\MediaProperties\PrivateProperties\Jo ystick\Winmm]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Services]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Services\WinSock2]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Services\WinSock2\Parameters]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catal og5]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalo g9]

[HKEY_LOCAL_MACHINE\123\user]

[HKEY_LOCAL_MACHINE\123\user\current]

[HKEY_LOCAL_MACHINE\123\user\current\software]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProc ess]
"BrowseNewProcess"="yes"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ {2ccb6de0-b2c7-11e0-8fd9-806d6172696f}]
"BaseClass"="Drive"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ {2ccb6de5-b2c7-11e0-8fd9-806d6172696f}]
"BaseClass"="Drive"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ {49dc63e0-b2ad-11e0-8ded-0003ffbf1230}]
"BaseClass"="Drive"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ {e315c8b0-0612-11e2-814b-806d6172696f}]
"BaseClass"="Drive"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ {e315c8b1-0612-11e2-814b-806d6172696f}]
"BaseClass"="Drive"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"Desktop"="C:\\Documents and Settings\\Win XP\\Рабочий стол"
"Start Menu"="C:\\Documents and Settings\\Win XP\\Главное меню"
"Personal"="C:\\Documents and Settings\\Win XP\\Мои документы"
"Startup"="C:\\Documents and Settings\\Win XP\\Главное меню\\Программы\\Автозагрузка"
"Cache"="C:\\Documents and Settings\\Win XP\\Local Settings\\Temporary Internet Files"
"Cookies"="C:\\Documents and Settings\\Win XP\\Cookies"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap]
"ProxyBypass"=dword:00000001
"IntranetName"=dword:00000001
"UNCAsIntranet"=dword:00000001
"AutoDetect"=dword:00000001

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\ShellNoRoam]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Documents and Settings\\Win XP\\Рабочий стол\\mhp_ruscolclientid54.scr"="Архив WinRaR 3.5 Installation "
"C:\\Program Files\\WinRaR.inc\\Архив WinRaR\\svchost.exe"="svchost"
"C:\\Program Files\\WinRaR.inc\\Архив WinRaR\\free_update.exe"="free_update"

[HKEY_LOCAL_MACHINE\123\user\current\software\SandboxieAutoExec]
@=hex:31

[HKEY_LOCAL_MACHINE\123\user\current_classes]

[HKEY_LOCAL_MACHINE\123\user\current_classes\*]

[HKEY_LOCAL_MACHINE\123\user\current_classes\*\shell]

[HKEY_LOCAL_MACHINE\123\user\current_classes\*\shell\sandbox]

Rezor666 08-10-2012 23:25 2001729
Цитата:
Цитата yurfed
Это файлам уже не поможет. »
Кто знает, но именно там выполняют лечения а не тут.

yurfed 09-10-2012 07:10 2001844
Цитата:
Цитата Rezor666
но именно там выполняют лечения а не тут. »
Вот спасибо что подсказал где лечат битые фото. Поговорить хочется?

totaleclypse@vk, посмотреть небыло времени, но как и обещал, поковыряю.
Не совсем понятно, вы их уже пытались восстанавливать или это "оригинал" ?

План помещения до перепланировки

второй файл

Более пока не получается:)

Rezor666 09-10-2012 09:24 2001896
Цитата:
Цитата yurfed
Поговорить хочется? »
Хочется :)

totaleclypse@vk 09-10-2012 12:19 2001975
Sphinx114, спасибо Вам за проделанный анализ. Я вот тоже ковыряю, но толку пока маловато. Тем более, я не программер, а сисадмин.
Комп не мой, а юзверя, она открыла (с её слов) какое-то письмо, прошла по ссылке и запустила файл...
Вообщем, буду признателен за любую помощь.

Rezor666 09-10-2012 13:24 2002009

WindowsNT 09-10-2012 14:34 2002043
Цитата:
Цитата totaleclypse@vk
Вообщем, буду признателен за любую помощь. »
Было бы неплохо на будущее озаботиться двумя вопросами:

1. Резервное копирование.
Все люди делятся на две категории: те, кто ЕЩЁ НЕ делает бэкапы и те, кто УЖЕ делает.

2. Application Whitelisting.
Системные администраторы должны знать, что от подобного рода угроз антивирусны защитить не могут, но блестяще справляется Software Restriction Policies. Ищите информацию, пробуйте делать.

totaleclypse@vk 09-10-2012 17:44 2002165
Цитата:
Цитата WindowsNT
Было бы неплохо на будущее озаботиться двумя вопросами:
1. Резервное копирование.
Все люди делятся на две категории: те, кто ЕЩЁ НЕ делает бэкапы и те, кто УЖЕ делает.
2. Application Whitelisting.
Системные администраторы должны знать, что от подобного рода угроз антивирусны защитить не могут, но блестяще справляется Software Restriction Policies. Ищите информацию, пробуйте делать. »
Проблема не у меня на компе. Проблема у бухгалтерши. Она и я разные люди. Она бухгалтер, а не сисадмин, и всё делает в последнюю очередь.

Rezor666 09-10-2012 17:58 2002173
А сисадмин ток о своем компе заботиться?

totaleclypse@vk 09-10-2012 18:17 2002186
Цитата:
Цитата Rezor666
А сисадмин ток о своем компе заботиться? »
Этот ноут стоит у неё дома. Увы и ах, я не обслуживал её домашний комп, только те, что в организации. Она не является моей закадычной подружкой, и у нас нет динь-динь.

WindowsNT 09-10-2012 18:49 2002205
Есть два способа обслуживать вычислительную систему:
1. Делать это самому.
2. Обращаться в компетентный сервис или к частному лицу.

Таки раз она берётся нести ответственность за работоспособность вычислительной системы, пусть изучает и тему резервного копирования, и тему безопасности. Вы свой автомобиль сами обслуживаете (шины-масло, развал-схождение, покраска-рихтовка) или в сервисе?

yurfed 09-10-2012 20:00 2002259
WindowsNT, человек может ни сном ни духом о том что там дома у бухгалтерши и его ставят перед фактом и он просит помочь, а вы ему рассказываете сказки - что такое хорошо и что такое плохо.
Может хватит лечить? Просто помогите, если можете.

WindowsNT 09-10-2012 20:49 2002297
Человек тут не причём. Но именно он может разъяснить своей бухгалтерше, что компьютер является сложным программно-техническим комплексом, за которым требуется уход. Если никто ситуацию пользователям разъяснять не будет, положение улучшаться не будет.

Помочь расшифровать не могу.

Rezor666 09-10-2012 20:52 2002298
WindowsNT, У вашей бухгалтерши на домашнем компе тоже SRP стоит?
Хотя я с Вами согласен в плане того что админ не обязан обслуживать домашние компы и это забота самого владельца.

WindowsNT 09-10-2012 22:19 2002358
Где я делал систему — конечно, стоит. Где люди не намерены что-то перенастраивать, я всегда разъясняю ценность резервного копирования, периодически напоминая о необходимости делать копии. Для меня сказать три слова не составляет труда, не вижу причин считать подобные напоминания слишком сложным или недостойным занятием.

totaleclypse@vk 10-10-2012 09:41 2002534
Народ, есть хоть какие-то подвижки в расшифровке?

Rezor666 10-10-2012 09:53 2002547
totaleclypse@vk, второй файл скорее всего вообще не остановишь.

zoxan1989 10-10-2012 10:40 2002571
Цитата:
Цитата totaleclypse@vk
Письмо от коллекторского агенства с угрозами »
конкретно давят на психику должнякам :biggrin:

totaleclypse@vk 11-10-2012 12:53 2003369
Лекарство для ID0 5 4
Хочу поделиться дешифратором от дрвеба, расшифровал почти все картинки, но вордовские и экселевские файлы открывает выборочно :(
Запустите ftp://ftp.drweb.com/pub/drweb/tools/te102decrypt.exe с параметрами
командной строки -k h25 может что расшифрует.


Время: 06:17.

Время: 06:17.
© OSzone.net 2001-