32 ответов в этой теме

[kvazartir]

Доброе время суток. Windows 2003 server атаковал вирус, в результате зашифрованные шары программкой lockdir. Подбор известных паролей не помог, восстановление с помощью утилит так же не привило к успеху. Архив из себя представляет файл с именем Thumbs.ms, в нем папка com1.{d3e34b21-9d75-101a-8c3d-00aa001a1652}. вложенных папок . и потом только зашифрованные файлы с расширение *.rn. Мне уже как то помогли с этой гадости спецы др.веба. Прошу помощи еще раз. Идентификатор [drweb.com #3526634].

Прикрепленные файлы:

•  hijackthis.log   5,97К   3 Скачано раз
•  cureit-results.cab   165,42К   1 Скачано раз
•  Report.txt   74,61К   0 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;

[lew6699]

на какой адрес просят отправить деньги?

[mrbelyash]

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\stmaster.exe -?
C:\Documents and Settings\Kvazar\WINDOWS\System32\smss.exe

[pig]

Второе - скорее всего, происки терминального сервера.

[kvazartir]

Сори что не отвечал долго. Адрес : aleksey_964@yahoo.com, номер в системе 769586.

[lew6699]

Сори что не отвечал долго. Адрес : aleksey_964@yahoo.com, номер в системе 769586.

Попробуй


hBRn73#@*95nfvsn#$&nfjfnHN13
G1wKК0yk7аh=1[=31P3<
FgmwH4hdh+S54hsdf/fhdfbs7

[kvazartir]

Не подходят. ((((

[SergM]

Какие новости из вирлаба?

[kvazartir]

Ни каких, молчание. Напомнил о себе письмом, но ответа не получил. Уже решил попросить счет у злодея,но адреса уже не существует.

[kvazartir]

Началась было переписка, но после того как я упомянул что уже обращался за поддержкой, замолчали. Вообщем, попа полная.

[lew6699]

Я тоже сталкивался с такой проблемой. Сейчас каждый день базы 1С8 на внешний винт скидываю. С вирлаба ответили сначала что невозможно расшифровать, но недели через 2 недели прислали ключ.

Сообщение было изменено lew6699: 30 Июль 2012 - 10:00

[v.martyanov]

Началась было переписка, но после того как я упомянул что уже обращался за поддержкой, замолчали. Вообщем, попа полная.

Не надо говорить неправду. Вам сказали буквально следующее: "Пароль 34 символа, за разумное время не подобрать."

[kvazartir]

Началась было переписка, но после того как я упомянул что уже обращался за поддержкой, замолчали. Вообщем, попа полная.

Не надо говорить неправду. Вам сказали буквально следующее: "Пароль 34 символа, за разумное время не подобрать."

Значит мы дргу друга не поняли.

[***Andre***]

Добрый день всем!

2й день бьюсь с этой гадостью, до конца и не понял что она от меня хотела (помимо денех)).
На данный момент куре-ит удалил все ЕХЕ-шники шифровальщика, коды нашел в инете и некуда вставлять.

Какой вообще порядок действий в таком случае? Корзины в ручную все почистил (если это сильно плохо, лучше сразу сказать) Тут все куда-то коды вставляют.... я так и не понял куда.. нашел более десяти кодов, но что и куда ума не приложу.

Читаю тему, вечером хочу создать свой запрос, но почитав сроки от 2х недель.. может есть какой-то алгоритм максимально быстрый и что НАДО СДЕЛАТЬ СЕЙЧАС для этого?

Спасибо.

[Borka]

что НАДО СДЕЛАТЬ СЕЙЧАС для этого?

СЕЙЧАС - обратиться в Вирлаб, в категорию "Запрос на лечение", заслать туда зашифрованные файлы и ждать ответа вирусного аналитика.

[v.martyanov]

Добрый день всем!

2й день бьюсь с этой гадостью, до конца и не понял что она от меня хотела (помимо денех)).
На данный момент куре-ит удалил все ЕХЕ-шники шифровальщика, коды нашел в инете и некуда вставлять.

Какой вообще порядок действий в таком случае? Корзины в ручную все почистил (если это сильно плохо, лучше сразу сказать) Тут все куда-то коды вставляют.... я так и не понял куда.. нашел более десяти кодов, но что и куда ума не приложу.

Читаю тему, вечером хочу создать свой запрос, но почитав сроки от 2х недель.. может есть какой-то алгоритм максимально быстрый и что НАДО СДЕЛАТЬ СЕЙЧАС для этого?

Спасибо.

http://forum.drweb.com/index.php?showtopic=310344&#entry615819

[***Andre***]

что НАДО СДЕЛАТЬ СЕЙЧАС для этого?

СЕЙЧАС - обратиться в Вирлаб, в категорию "Запрос на лечение", заслать туда зашифрованные файлы и ждать ответа вирусного аналитика.

Вот спасибо! Сорри.. просто паника.. аврал на работе.. а тут еще 2 дня без данных всех ((( плохо соображаю что нужно.

Сейчас вышлю.

[***Andre***]

Добрый день всем!
.. и что НАДО СДЕЛАТЬ СЕЙЧАС для этого?

Спасибо.

http://forum.drweb.com/index.php?showtopic=310344&#entry615819

нужен лог того лечения? он уже потерся ((( я заново запускал прогу, сейчас дает чистый лог программы.
После на всякий прошелся "Кав-диском", ничего не обнаружено. Утилита ваша хорошо почистила.

я так понял нужен сейчас сам шифровальщик, чтобы дать ему код доступа к файлам, но программы уже нет - удалена.

Или я опять что-то не так понимаю ((( не судите строго... столько инфы за час в голове.. все плывет..

[v.martyanov]

***Andre***, 3556387 - ваш ведь тикет?