Перейти к содержимому


Фото
- - - - -

Письмо якобы от Сбера зашифровались файлы doc, pdf, jpeg

Автор Trader555 , июн 26 2012 21:42
Вирус

  • Please log in to reply
11 ответов в этой теме

#1 Trader555

Trader555

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 26 Июнь 2012 - 21:42

Пришло письмо якобы от Сбербанка по просроченной задолженности с вложенным Excel файлом. После открытия зашифровались всё doc, pdf, jpeg файлы.
Если можите помогите в востановлении.
Согласно инструкции приложил всё необходимые логи. Если нужно ещё что-то просьба сообщить.
Спасибо.

Прикрепленные файлы:


#2 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 797 Сообщений:

Отправлено 26 Июнь 2012 - 22:01

это надо Fix Checked в HijackThis и удалять из установки программ
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=vsl&s={searchTerms}&f=4
O2 - BHO: facemoods Helper - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files\facemoods.com\facemoods\1.4.17.3\bh\facemoods.dll
O3 - Toolbar: facemoods Toolbar - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files\facemoods.com\facemoods\1.4.17.3\facemoodsTlbr.dll
O4 - HKLM\..\Run: [facemoods] "C:\Program Files\facemoods.com\facemoods\1.4.17.3\facemoodssrv.exe" /md I
O4 - HKCU\..\Run: [MediaGet2] C:\Users\pasha\AppData\Local\MediaGet2\mediaget.exe --minimized - потенциально опасное по. (удалить)

Сообщение было изменено Partizan: 26 Июнь 2012 - 22:01

Сиюминутное Ригпа бессущностно и ясно.

drweb.png

#3 thyrex

thyrex

    Member

  • Posters
  • 279 Сообщений:

Отправлено 26 Июнь 2012 - 22:41

Partizan, а как это поможет ТС?

Trader555, пока ни в одном вирлабе нет дешифровщика против этой версии Encoder

#4 Trader555

Trader555

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 26 Июнь 2012 - 23:04

Trader555, пока ни в одном вирлабе нет дешифровщика против этой версии Encoder

Есть надежда на то, что он появится???

#5 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 26 Июнь 2012 - 23:09

Есть надежда на то, что он появится???

когда-нибудь вероятно да. завтра - очень вряд ли.

#6 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 797 Сообщений:

Отправлено 27 Июнь 2012 - 08:35

Partizan, а как это поможет ТС?

Чем могу. А шифровщики пока не по мне ( пока сам не столкнулся). Профилактика.
Trader555, drweb_scan.zip отчет не правильно сделан - почитайте ещё http://forum.drweb.com/index.php?showtopic=277652, но в первую очередь ,что касается расшифровки. в аналогичных темах.

Сообщение было изменено Partizan: 27 Июнь 2012 - 08:40

Сиюминутное Ригпа бессущностно и ясно.

drweb.png

#7 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 797 Сообщений:

Отправлено 27 Июнь 2012 - 08:41


3. Если у Вас зашифрованы файлы,

Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;

Сиюминутное Ригпа бессущностно и ясно.

drweb.png

#8 thyrex

thyrex

    Member

  • Posters
  • 279 Сообщений:

Отправлено 27 Июнь 2012 - 18:35

когда-нибудь вероятно да. завтра - очень вряд ли.

Уже есть. Вот только не знаю, добавили ли уже процедуру в te102decrypt

#9 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 10 Июль 2012 - 13:12

Не вижу ни тикета топикстартера, ни тикета с декриптором :-(

Личный сайт по Энкодерам - http://vmartyanov.ru/

#10 thyrex

thyrex

    Member

  • Posters
  • 279 Сообщений:

Отправлено 10 Июль 2012 - 19:15

v.martyanov, этому пользователю подходит дешифратор, который выкладывался в этой теме
Все посты были оперативно снесены модераторами :)

#11 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 10 Июль 2012 - 19:28

v.martyanov, этому пользователю подходит дешифратор, который выкладывался в этой теме
Все посты были оперативно снесены модераторами :)


А, ну так там инструкция для частичной расшифровки :-)

Личный сайт по Энкодерам - http://vmartyanov.ru/

#12 thyrex

thyrex

    Member

  • Posters
  • 279 Сообщений:

Отправлено 10 Июль 2012 - 23:25

Выкладывался дешифратор, который 100% подходил данному пользователю. А частичная дешифровка - это не комильфо :)
Назад к Помощь по лечению

Also tagged with one or more of these keywords: Вирус

Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых

  1. Dr.Web forum
  2. Русские форумы
  3. Антивирусная лаборатория
  4. Помощь по лечению
  5. Privacy Policy
  6. Terms & Rules ·