17 ответов в этой теме

[PykuXOX]

я еще один пострадавший от злодеев.
прошу помочь с зашифрованными файлами, в расширении добавилось STOP, почта злоумышленника decr03@mail.ru,
на форуме прочитал, что пару дней назад Вы очень быстро помогли пользователю flyhippo
топик: http://forum.drweb.com/index.php?showtopic=314697

запрос в поддержку № 9XL6-0***,
приложил файл требований, оригинал и зашифрованный файл.

очень очень жду помощи...

Сообщение было изменено mrbelyash: 28 Июль 2013 - 10:50

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[PykuXOX]

в топике от flyhippo написали - что вроде никаких логов не нужно, и через полдня он был уже счастливый..
мне так же нужно, а потом я буду искать злодеев по айпишникам.

[mrbelyash]

Все же лог drwebsysinfo сделайте,там может декодер всплыть.

И сюда лог

[PykuXOX]

вот:

Прикрепленные файлы:

•  DrWebSysInfo.log   76К   1 Скачано раз

[mrbelyash]

zip файл

[SergM]

PykuXOX, Это не лог. Беляш написал, какой он должен быть по виду.

[PykuXOX]

этот?

Прикрепленные файлы:

•  1C_Administrator_280713_140823.zip   2,29Мб   3 Скачано раз

[mrbelyash]

Учтите,что помощь в расшифровке предоставляется только лицензионным пользователям.

 

P.S.

Можете кинуть вличку зашифрованый вордовский файл?

[PykuXOX]

вордовский файлик скинул,

когда создавал тикет - то указал серийный номер на программу
Home products (Dr.Web Security Space)
Workstations: 1
Period: 12m

[mrbelyash]

вордовский файлик скинул,

когда создавал тикет - то указал серийный номер на программу
Home products (Dr.Web Security Space)
Workstations: 1
Period: 12m

 

Ждите ответ на почту.

[PykuXOX]

спасибо, я очень на Вас надеюсь.

[lazarevee]

https://www.virustotal.com/file/0c73997b68ad97ce91164ec9c79817b2e4ed50e17a5cc587c65fe272de352000/analysis/1375007934/

rundll32.exe murkmp.fyd, fchwzr SYSTEM Created by Net Schedule Job Add.

Что за задания ? Там у вас их 45 шт. Atxx.job

[thyrex]

Судя по детекту и произвольному имени файла murkmp.fyd, это от Kido

[PykuXOX]

касперский ничего не находит,
лечить чем нибудь другим боюсь - чтобы не потерять файлы

[lazarevee]

	Line 2228:         <Process ProcessId="1228" CommandLine="rundll32.exe murkmp.fyd,xiautm">
	Line 2241:         <Process ProcessId="5080" CommandLine="rundll32.exe murkmp.fyd,mxafm">
	Line 2254:         <Process ProcessId="4852" CommandLine="rundll32.exe murkmp.fyd,yannsfln">
	Line 2279:         <Process ProcessId="1728" CommandLine="rundll32.exe murkmp.fyd,piazb">
	Line 2292:         <Process ProcessId="4924" CommandLine="rundll32.exe murkmp.fyd,shupd">
	Line 2305:         <Process ProcessId="4560" CommandLine="rundll32.exe murkmp.fyd,xmkpphy">
	Line 2318:         <Process ProcessId="4980" CommandLine="rundll32.exe murkmp.fyd,gfmbpzy">
	Line 2331:         <Process ProcessId="460" CommandLine="rundll32.exe murkmp.fyd,xvwbwse">
	Line 2344:         <Process ProcessId="2108" CommandLine="rundll32.exe murkmp.fyd,yqsdbcf">
	Line 2357:         <Process ProcessId="4388" CommandLine="rundll32.exe murkmp.fyd,pzqcft">
	Line 2370:         <Process ProcessId="2300" CommandLine="rundll32.exe murkmp.fyd,gvnuvqk">
	Line 2383:         <Process ProcessId="904" CommandLine="rundll32.exe murkmp.fyd,eexdlwut">
	Line 2396:         <Process ProcessId="1672" CommandLine="rundll32.exe murkmp.fyd,abxxaany">
	Line 2409:         <Process ProcessId="1884" CommandLine="rundll32.exe murkmp.fyd,uxhfof">
	Line 2422:         <Process ProcessId="4100" CommandLine="rundll32.exe murkmp.fyd,kcokgw">
	Line 2435:         <Process ProcessId="560" CommandLine="rundll32.exe murkmp.fyd,tawgonuj">
	Line 2448:         <Process ProcessId="1416" CommandLine="rundll32.exe murkmp.fyd,jygoks">
	Line 2461:         <Process ProcessId="4108" CommandLine="rundll32.exe murkmp.fyd,qvancof">
	Line 2474:         <Process ProcessId="1376" CommandLine="rundll32.exe murkmp.fyd,aorervp">
	Line 2487:         <Process ProcessId="808" CommandLine="rundll32.exe murkmp.fyd,qfpwxjxj">
	Line 2500:         <Process ProcessId="4632" CommandLine="rundll32.exe murkmp.fyd,ejxchw">
	Line 2513:         <Process ProcessId="4864" CommandLine="rundll32.exe murkmp.fyd,badfgh">
	Line 2526:         <Process ProcessId="4952" CommandLine="rundll32.exe murkmp.fyd,wytolr">
	Line 2539:         <Process ProcessId="2356" CommandLine="rundll32.exe murkmp.fyd,bxvjt">
	Line 2552:         <Process ProcessId="4456" CommandLine="rundll32.exe murkmp.fyd,nddjbykc">
	Line 2565:         <Process ProcessId="2324" CommandLine="rundll32.exe murkmp.fyd,cdqywbe">
	Line 2578:         <Process ProcessId="5092" CommandLine="rundll32.exe murkmp.fyd,vssoqk">
	Line 2591:         <Process ProcessId="2536" CommandLine="rundll32.exe murkmp.fyd,bxeicon">

тут 28. Где объект не понятно...

 

 

касперский ничего не находит,
лечить чем нибудь другим боюсь - чтобы не потерять файлы

Актуальные базы ?

Задания убейте хотя бы, что бы не продолжалось. (в общем на заметку возьмите)

Сообщение было изменено l.e.e.: 28 Июль 2013 - 14:24

[PykuXOX]

кидокиллером прошел, 45 процессов убил,
вот свежий лог после рестарта:

Прикрепленные файлы:

•  1C_Administrator_280713_170618.zip   2,27Мб   1 Скачано раз

[PykuXOX]

Огромное спасибо за помощь!
Вы - лучшие!!

зы: придется на следующий год покупать в организацию веба, каспера - в отставку