Здравствуйте.
Я прочитал условия создания темы, но дело в том, что, похоже, в помощи я не нуждаюсь, а может быть лишь пока. Поэтому я решил написать сюда.
Если лень читать историю, в конце резюме в двух словах.
История такая. Пару дней назад начал глючить комп у моей девушки. Являясь её персональным сисадмином, я помнил, что комп тот иногда так себя ведёт, и решил что железо в нём снова начинает буянить. Конкретно - компьютер ни с того ни с сего перезагружался. Грешил на перегрев процессора, либо на сбои в блоке питания (возможно вызывающие перегрев процессора). Параллельно почистил винду (CCleaner'ом), пробежался по реестру в поисках загружаемых при загрузке винды файлах, проверил антивирусом - ничего не нашёл. Ушёл. Но симптомы не прекратились. То есть можно было минут 15 поработать, а потом перезагрузка. Разобрал комп, почистил всё от пыли. Собрал. Попользовались им ещё некоторое время, а потом полный конец обеда. В один прекрасный момент комп ушёл в цикл перезагрузок. Не загружается вообще, либо постоянно перезагружается. Тут девушка говорит: "А тот маленький вентилятор теперь не крутится, раньше крутился." Я хлопаю себя по голове и понимаю, что после чистки от пыли забыл подключить кулер процессора к материнке. Подключил. Цикл перезагрузок. Пошёл перепаял кнопку питания на БП (она слегка приплавилась, думал может микроразрывы создаёт в цепи). Собрал. Теперь не видит хард. Ну, думаю, пойду гляну хоть какие файлы вытаскивать с харда, всё равно винду там собирался переустанавливать. Пошёл и глянул. И прифигел. В корне диска C появились файл i2api_debug.log почти на гиг весом (не факт, что для восстановления сессии из гибернизации, ибо не использовалась) и скрытая папка "rtemp" c 4мя файлами внутри: b.bat, in.txt, out.txt и seif.exe. Загуглил, понял что шифровальщик. Почему он не сработал в полную мощь, для меня остаётся загадкой. Возможно что-то глюкнуло когда он начал шифровать, используя на полную проц, а тот был без охлаждения. Возможно замусоренная винда сыграла свою роль, или в принципе нестабильное железо компа. А может аура девочки, которая (аура) даёт ухудшение работы всех девайсов с которыми она (девочка) взаимодействует, наконец сыграла положительную роль. Но файлы вроде бы все в порядке, а инфа касаемо вируса возможно будет полезна для их изучения. Время создания папки и файлов в ней почему-то ровно 2 месяца назад. Возможно затаился. Как поймали не известно, но по сути вариантов два, либо интернет (вероятность через почту (кррайне ) мала, вероятно сайт для просмотра... сериалов с переводом от кураж-бомбей в общем, она их смотрит.), либо через флешки. Скорее всего интернет.
Кратко: поймали вирь-шифровальщик, он не сработал, можно ли извлечь из ситуации какие-нибудь положительные аспекты?
Зарегистрировался здесь, решил рассказать. Заражённый винчестер пока что в нетронутом состоянии, скажите чем могу быть полезен и что посоветуете проанализировать? Для начала я собираюсь создать лайв-сиди, ну и пройтись по пунктам, которые описаны в теме "Правила раздела Помощь по лечению".
Спасибо.
История с шифровальщиком
#1
Отправлено 25 Декабрь 2013 - 06:21
#2
Отправлено 25 Декабрь 2013 - 06:21
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.
4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
- Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
- В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
- Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
- Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.
#3
Отправлено 25 Декабрь 2013 - 11:42
Отошлите в вирлаб с соответствующим комментарием, если у вас ничего не заражено и вы в этом уверены... ) А вообще неплохо бы увидеть логи.
Сообщение было изменено Dmitry_rus: 25 Декабрь 2013 - 11:43
#4
Отправлено 03 Январь 2014 - 19:47
Отошлите в вирлаб с соответствующим комментарием, если у вас ничего не заражено и вы в этом уверены... ) А вообще неплохо бы увидеть логи.
Спасибо за ответ. А как отослать в вирлаб? Через эту форму: https://vms.drweb.com/sendvirus/ ?
Подключил диск к другому компьютеру, сделал лог CureIT подключённого винча (через свою систему, т.е. заражённый винч был просто подключён, как флешка). Другие логи не смог сделать, потому что там нет возможности (или я не нашёл?) проверить конкретный диск, собираются данные о всей системе, но не о той. Есть ли возможность сделать логи системы с того диска через мою систему? Та винда не загружается, да и я сам не стал бы её грузить, вдруг сработает вирус.
Лог CureIT в архиве, не смог подключить на форум без архивации, слишком большой.
Прикрепленные файлы:
#5
Отправлено 03 Январь 2014 - 19:51
Есть такая фишка-загрузка куста реестра другой системы.
Вот только смысл? Помощь в расшифровке предоставляется только лиц. пользователям.
#6
Отправлено 03 Январь 2014 - 23:34
Есть такая фишка-загрузка куста реестра другой системы.
Вот только смысл? Помощь в расшифровке предоставляется только лиц. пользователям.
Да, как-то я забыл об этом...
Так а мне не нужна расшифровка. У меня данные не зашифрованные. Просто я подумал, что раз вирус сработал не до конца, может будет помощь какая от этого. Я то всё равно планирую там переустановить систему, отформатировав винч при этом. =)
#7
Отправлено 03 Январь 2014 - 23:39
на www.rghost.ru файлы в архиве
%WINDIR%\system32\config\software
C:\Users\имя_пользователя\ntuser.dat
#9
Отправлено 04 Январь 2014 - 08:58
the action is not allowed, because the file is marked as private and the key you provided is not correct
#10
Отправлено 04 Январь 2014 - 18:11
Извините, думал сделать не публичный файл.
One more time.
http://rghost.ru/51398760
#11
Отправлено 04 Январь 2014 - 18:19
А в темпе пользователя есть экзешники?
#12
Отправлено 05 Январь 2014 - 06:01
К сожалению уже не знаю, форматнул всё, надо делать рабочий комп. (=
У меня осталась только эта папка с 4мя файлами, один из которых экзешник "seif".
#13
Отправлено 05 Январь 2014 - 06:05
Кстати, хочу отметить, что после всей этой истории видимо полетели загрузочные сектора на винче (форматирование в акронисе и переустановка винды проблему не решает). То ли вирус их погрыз, то ли ещё что, но как-то всё грустно. Такие дела. Буду разбираться.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых