Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум
Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  

Название темы: Вирус зашифровал файлы
Показать сообщение отдельно

Старожил


Сообщения: 459
Благодарности: 138

Профиль | Отправить PM | Цитировать

totaleclypse@vk, посмотрел я твои файлы хекс редактором. Они не зашифрованы, они грубо испорчены. Далее запустил в sandboxie твой вирус, также чисто в виртуалке запускал. Внутри него 2 экзешника, они распаковались в C:\Program Files\WinRaR.inc\Архив WinRaR и запустились. В C:\Documents and Settings\<user>\Главное меню\Программы\Автозагрузка добавлено напоминание.txt. И это всё. Системные файлы вроде не модифицированы. Информации для восстановления файлов нигде нет (маловероятно что она внутри файла). Пораскидал по системе jpg, но вирус почемуто ничего не испортил

Как вы эти вирусы цепляете? Уж сколько времени система и браузер не обновляется, антивиря нет, флеш, скрипты, всё включено, сижу под админом... и ни одного виря.
Цитата totaleclypse@vk:
mmm.bat »
Нету такого. Вот какие изменения в реестре показала песочница:
читать дальше »
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\123]

[HKEY_LOCAL_MACHINE\123\machine]

[HKEY_LOCAL_MACHINE\123\machine\software]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes\AppID]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes\CLSID]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes\CompressedFolder]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes\CompressedFolder\shell]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes\CompressedFolder\shell\open]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes\CompressedFolder\shell\open\ddeexec]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\COM3]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\ole]
"EnableDCOM"="N"

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion\Explorer]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket]
"NukeOnDelete"=dword:00000001
"UseGlobalSettings"=dword:00000001

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"Common Start Menu"="C:\\Documents and Settings\\All Users\\Главное меню"
"Common Desktop"="C:\\Documents and Settings\\All Users\\Рабочий стол"
"Common Documents"="C:\\Documents and Settings\\All Users\\Документы"

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion\Uninstall]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion\Uninstall\Архив WinRaR 3.5]
"DisplayName"="Архив WinRaR 3.5"
"DisplayVersion"="3.5"
"VersionMajor"=dword:00000003
"VersionMinor"=dword:00000005
"Publisher"="WinRaR.inc"
"DisplayIcon"="C:\\Program Files\\WinRaR.inc\\Архив WinRaR\\Uninstall.exe"
"UninstallString"="C:\\Program Files\\WinRaR.inc\\Архив WinRaR\\Uninstall.exe"
"InstallLocation"="C:\\Program Files\\WinRaR.inc\\Архив WinRaR\\"
"InstallSource"="C:\\Documents and Settings\\Win XP\\Рабочий стол\\"
"InstallDate"="20121008"
"Language"=dword:00000419
"EstimatedSize"=dword:00000478
"NoModify"=dword:00000001
"NoRepair"=dword:00000001

[HKEY_LOCAL_MACHINE\123\machine\software\Policies]

[HKEY_LOCAL_MACHINE\123\machine\system]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Control]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Control\MediaProperties]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Control\MediaProperties\PrivateProperties]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Control\MediaProperties\PrivateProperties\Jo ystick]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Control\MediaProperties\PrivateProperties\Jo ystick\Winmm]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Services]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Services\WinSock2]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Services\WinSock2\Parameters]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catal og5]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalo g9]

[HKEY_LOCAL_MACHINE\123\user]

[HKEY_LOCAL_MACHINE\123\user\current]

[HKEY_LOCAL_MACHINE\123\user\current\software]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProc ess]
"BrowseNewProcess"="yes"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ {2ccb6de0-b2c7-11e0-8fd9-806d6172696f}]
"BaseClass"="Drive"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ {2ccb6de5-b2c7-11e0-8fd9-806d6172696f}]
"BaseClass"="Drive"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ {49dc63e0-b2ad-11e0-8ded-0003ffbf1230}]
"BaseClass"="Drive"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ {e315c8b0-0612-11e2-814b-806d6172696f}]
"BaseClass"="Drive"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ {e315c8b1-0612-11e2-814b-806d6172696f}]
"BaseClass"="Drive"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"Desktop"="C:\\Documents and Settings\\Win XP\\Рабочий стол"
"Start Menu"="C:\\Documents and Settings\\Win XP\\Главное меню"
"Personal"="C:\\Documents and Settings\\Win XP\\Мои документы"
"Startup"="C:\\Documents and Settings\\Win XP\\Главное меню\\Программы\\Автозагрузка"
"Cache"="C:\\Documents and Settings\\Win XP\\Local Settings\\Temporary Internet Files"
"Cookies"="C:\\Documents and Settings\\Win XP\\Cookies"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap]
"ProxyBypass"=dword:00000001
"IntranetName"=dword:00000001
"UNCAsIntranet"=dword:00000001
"AutoDetect"=dword:00000001

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\ShellNoRoam]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Documents and Settings\\Win XP\\Рабочий стол\\mhp_ruscolclientid54.scr"="Архив WinRaR 3.5 Installation "
"C:\\Program Files\\WinRaR.inc\\Архив WinRaR\\svchost.exe"="svchost"
"C:\\Program Files\\WinRaR.inc\\Архив WinRaR\\free_update.exe"="free_update"

[HKEY_LOCAL_MACHINE\123\user\current\software\SandboxieAutoExec]
@=hex:31

[HKEY_LOCAL_MACHINE\123\user\current_classes]

[HKEY_LOCAL_MACHINE\123\user\current_classes\*]

[HKEY_LOCAL_MACHINE\123\user\current_classes\*\shell]

[HKEY_LOCAL_MACHINE\123\user\current_classes\*\shell\sandbox]

Последний раз редактировалось Sphinx114, 09-10-2012 в 08:01. Причина: .reg

Это сообщение посчитали полезным следующие участники:

Отправлено: 23:17, 08-10-2012 | #13

Название темы: Вирус зашифровал файлы