Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Шифровальщик. (http://forum.oszone.net/showthread.php?t=283372)

cher 09-06-2014 11:30 2361946
Шифровальщик.
 
Как понимаю с фотками можно попрощаться?

Автологер на зараженной системе не запустился с первого раза. Профилактически прошелся Антивинблокером.
Далее вроде отработал, но с ошибками.

Фото окошка.



Шифрованный файл
http://rghost.ru/56262107

cher 11-06-2014 00:17 2362730
Ясно. Нет на 130-ый пока дешифратора. Соответственно и решено.

regist 11-06-2014 01:09 2362738
Здравствуйте!

1)
Цитата:
Цитата cher
Далее вроде отработал, но с ошибками. »
подробней про ошибки можно?

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog(PathAutoLogger);
SaveLog(PathAutoLogger+'report4.log');
CMDLine := 'a "' + PathAutoLogger + '\Report.zip" "' + PathAutoLogger + '\report*.log"';
ExecuteFile('7z.exe', CMDLine, 0, 15000, true);
end.
архив Report.zip из папки с AutoLogger пожалуйста прикрепите к своему сообщению.

2)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\юзер\appdata\roaming\lw_mc\service.exe','');
 QuarantineFile('C:\PROGRA~2\Mozilla\okijzoh.exe','');
 QuarantineFile('C:\Users\юзер\AppData\Local\Temp\yzohw.exe','');
 QuarantineFile('c:\users\f85f~1\appdata\local\temp\jre17.exe','');
 DeleteFile('c:\users\f85f~1\appdata\local\temp\jre17.exe','32');
 DeleteFile('C:\Users\юзер\AppData\Local\Temp\yzohw.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\45stgyawx.bak','32');
 DeleteFile('C:\PROGRA~2\Mozilla\okijzoh.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\iivblfl.bak','32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

3) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

cher 11-06-2014 19:00 2362964
regist, Спасибо, что ответили.
Лечение провел самостоятельно.
Сделал полный бэкап до
Цитата:
Цитата cher
Профилактически прошелся Антивинблокером. »
"мало ли "исходники" понадобятся"
Ноутбук "упаковал" и отдал страдальцам до появления дешифратора.

regist 11-06-2014 20:08 2362984
cher, по логам которые вы выложили и которые как я понял вы делали уже после лечения осталась зараза - скрипт должен был её почистить.

cher 11-06-2014 20:25 2362988
Цитата:
Цитата regist
cher, по логам которые вы выложили и которые как я понял вы делали уже после лечения осталась зараза »
Это не после лечения - это для запуска Автологера.
Далее ждать стало лень - тем более, что основная проблема в шифровке файлов.
Систему очистил. Папки с шифрованными файлами остались ждать "своего часа". :)

regist 11-06-2014 22:34 2363053
1)
Цитата:
Цитата cher
Систему очистил. »
после того как сделали логи систему ещё чистили? Так как повторюсь по тем логам есть зараза.

2) Логи работы автологера остались? Интересно посмотреть, что за ошибки были.

3)
Цитата:
Цитата cher
Папки с шифрованными файлами остались ждать "своего часа". »
Часть файлов можно восстановить с помощью te102decrypt.
Скачайте te102decrypt.exe и сохраните в корень диска С.

В командной строке введите:
Код:
C:\te102decrypt.exe -k h49 -e .HELP@AUSI.COM_XO130 -path C:\Crypted
C:\Crypted - путь к папке с зашифрованными файлами.

Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались

ps. спасибо mike 1 за подсказку с ключами командной строки.

cher 12-06-2014 19:17 2363348
Цитата:
Цитата regist
после того как сделали логи систему ещё чистили? »
Да, конечно.
Цитата:
Цитата cher
Далее ждать стало лень - тем более, что основная проблема в шифровке файлов.
Систему очистил. »
Цитата:
Цитата regist
Логи работы автологера остались? Интересно посмотреть, что за ошибки были. »
Глянул в репорт - вроде как все норма. Проблема с блокнотом была. По ощущениям заразного параметра.
Цитата:
Цитата regist
Часть файлов можно восстановить с помощью te102decrypt. »
Попробую на днях...


Время: 12:55.

Время: 12:55.
© OSzone.net 2001-