Перейти к содержимому


Фото
- - - - -

Lockdir.exe - "Выход есть" + процесс wasppacer

Lockdir.exe wasppacer зашифрованные файлы

  • Закрыто Тема закрыта
10 ответов в этой теме

#1 sheykom

sheykom

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 13 Май 2014 - 12:15

После праздников файлы на пк были зашифрованы. Также все время работает процесс wasppacer (причем когда только воткнул интернет - заработала программа wasppacer - я не знаю что это, отключил интернет на всякий)
Ситуация выглядит так, как будто кто то подключился - поставил по и спокойно отключился... Зайдя через far manager - увидел скрытые папки - в них висят все данные но с расширением .rn, В свойтвах они как системные, если снять - то становятся видимы в системе.
Можете помочь расшифровать данные? (или преобразовать из расширения .rn) и избавить от процесса wasppacer?
логи dwsysinfo и hijackThis прилагаются.

Могу приложить зашифрованный фаил (просто он не копируется на флешку, - не хочет. Можно его скопировать через фар и то он на пол пути ошибку дает, но что-то все таки скопирует)

Прикрепленные файлы:



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 2 724 Сообщений:

Отправлено 13 Май 2014 - 12:15

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:
  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

#3 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 13 Май 2014 - 12:16

C:\Recycle.Bin\winlogon.exe -в вирлаб

C:\Recycle.Bin\wasppacer.exe-в вирлаб

C:\Recycle.Bin\winlogon.exe-в вирлаб

--

В HJ фиксим

O4 - HKLM\..\Run: [Windows NT Logon Application] C:\Recycle.Bin\winlogon.exeC:\Recycle.Bin\winlogon.exe


Сообщение было изменено mrbelyash: 13 Май 2014 - 12:18

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#4 sheykom

sheykom

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 13 Май 2014 - 12:35

C:\Recycle.Bin\winlogon.exe -в вирлаб
C:\Recycle.Bin\wasppacer.exe-в вирлаб
C:\Recycle.Bin\winlogon.exe-в вирлаб

 

 

Я извиняюсь, это мне надо отправить в вирлаб?, как я понял.

 

 

В HJ фиксим

O4 - HKLM\..\Run: [Windows NT Logon Application] C:\Recycle.Bin\winlogon.exeC:\Recycle.Bin\winlogon.exe

 

-  А это что значит?



#5 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 13 Май 2014 - 12:41

Да,

https://vms.drweb.com/sendvirus/?lng=ru

--

http://wiki.drweb.com/index.php/HijackThis

 

Как пофиксить с помощью Хайджек?


Сообщение было изменено mrbelyash: 13 Май 2014 - 12:42

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#6 sheykom

sheykom

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 13 Май 2014 - 12:48

Пофиксить - где-то в мануале видел, сейчас почитаю



#7 sheykom

sheykom

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 13 Май 2014 - 13:51

1) Запрос сделал : [drweb.com #4726045].

 

2) "Пофиксил" (если можно объясните что это значит) - лог после имеется

Прикрепленные файлы:


Сообщение было изменено sheykom: 13 Май 2014 - 13:51


#8 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 13 Май 2014 - 13:57

C:\Recycle.Bin\wasppacer.exe-на месте

лог делали от админа?И после фикса?


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#9 sheykom

sheykom

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 13 Май 2014 - 14:29

лог делал от админа после фикса. Фикс сделал по инструкции. Сейчас при сканировании строчки для фикса нет. вот еще раз просканировал. C:\Recycle.Bin\wasppacer.exe - да там же находится

Прикрепленные файлы:


Сообщение было изменено sheykom: 13 Май 2014 - 14:33


#10 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 13 Май 2014 - 14:31

C:\Recycle.Bin\wasppacer.exe-на месте.

 

удаленный доступ дадите?


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#11 sheykom

sheykom

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 13 Май 2014 - 14:45

в личные сообщения написал 





Also tagged with one or more of these keywords: Lockdir.exe, wasppacer, зашифрованные файлы

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых