41 ответов в этой теме

[slitov]

Сегодня случилось неприятное... Как главбуху сказал что после открытия письма от сбербанка это произошло...

На рабочем столе появилать картинка "Все файлы заблокированы и отправлены мне. За подробностями писать мне на эмейл. (адрес не помню)"

Тему с шифровкой данных от письма сбербанка прочитал. Но тут немного другое.
У всех файлов все осталось по прежнему (расширения), только при открытии вордовских и экселевских файлов быдает ошибку "не удалось запустить конвертер mswrd632".
На другом компьютере тоже не открывается и выдает эту ошибку.
С компьютера где был вирус документы с сервера открывает нормально.
Пример файла:
 Утверждаю.doc   34,4К   7 Скачано раз

Прошу вашей помощи!

Сообщение было изменено slitov: 28 Май 2012 - 09:26

[Dr.Robot]

Если Вы подозреваете у себя на компьютере вирусную активность и хотите обратиться в раздел "Помощь по лечению", Вам необходимо кроме описания проблемы приложить к письму логи работы 3 программ - сканера Drweb (или Cureit), Hijackthis и RkU. Где найти эти программы и как сделать логи, описано ниже. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
Инструкция

[userr]

slitov,
сделайте лог cureit по Правилам - см пост 2.
Но ничего не лечить и не удалять из того, что он найдет. лог сюда.

[userr]

Такая же проблема

такой же ответ.
+
см напр http://forum.drweb.com/index.php?showtopic=309357

[userr]

Lelik_q3
http://forum.drweb.com/index.php?showtopic=309417

[Borka]

Хм... Интересно... Меняет на 0х88 по пять первых байт в каждом килобайтном блоке (всего 5 блоков), и такое впечатление, что в конец файла дописывает ключ(?).

[slitov]

Вот лог и тройка файлов:

 DrWebSysInfo.log   81,36К   0 Скачано раз
 АЛЕШИНА_new_280512_190020.zip   1,44Мб   4 Скачано раз

Видел я таких много тем. только ответов не видел в них.... Что настраивает на худшее....

[userr]

Вот лог и тройка файлов:
Видел я таких много тем. только ответов не видел в них.... Что настраивает на худшее....

1. что это за "тройка файлов", и кто просил их выкладывать на форум?
2. где лог cureit по Правилам?

Сообщение было изменено userr: 28 Май 2012 - 18:06

[pig]

Товарищ последовал совету Dr.Robot (не полностью). Что невредно, но пока что мало востребовано в данной ситуации.

Сообщение было изменено pig: 28 Май 2012 - 21:11

[slitov]

Вот лог и тройка файлов:
Видел я таких много тем. только ответов не видел в них.... Что настраивает на худшее....

1. что это за "тройка файлов", и кто просил их выкладывать на форум?
2. где лог cureit по Правилам?

Файлы которые были зашифрованы были приложены к письму... На форуме каспера логов не просят делать, им достаточно зашифрованных файлов чтоб подобрать прогу для расшифровки. Смысла в логах не вижу... Надо по файлам смотреть т.к. вирус это прога которая произвела шифровку файлов, для конечного итога надо по самим файлам посмотреть что за алгоритм шифрования был применен и подобрать прогу для расшифровки... На вашем форуме только куча лишних вопросов и не одного ответа... cureit ничего не нашел, нашел сканер от каспера Trojan-PSW.Win32.Tepfer.yyh файл с именем codec2609.exe
Зачем людей грузить снятием логов когда не в них дело?
Админы без обид но сами видите продуктивность ваших логов...

[fetch]

Вот лог и тройка файлов:
Видел я таких много тем. только ответов не видел в них.... Что настраивает на худшее....

1. что это за "тройка файлов", и кто просил их выкладывать на форум?
2. где лог cureit по Правилам?

Файлы которые были зашифрованы были приложены к письму... На форуме каспера логов не просят делать, им достаточно зашифрованных файлов чтоб подобрать прогу для расшифровки. Смысла в логах не вижу... Надо по файлам смотреть т.к. вирус это прога которая произвела шифровку файлов, для конечного итога надо по самим файлам посмотреть что за алгоритм шифрования был применен и подобрать прогу для расшифровки...

вероятно вирусному аналитику проще посмотреть по телу вируса алгоритм шифрования, чем просто гадать по паре файлов..
а лог курит мог (должен) показать наличие тела вируса, упрощающего процесс декодирования.

На вашем форуме только куча лишних вопросов и не одного ответа

основное общение в темах с декодированием идет по почте с вирусным аналитиком по теме тикета.
как-то так вроде

Сообщение было изменено fetch: 29 Май 2012 - 08:26

[userr]

Файлы которые были зашифрованы были приложены к письму...

Это бессмысленная самодеятельность. Файлы нужно слать в вирлаб, на форуме им делать нечего.
Смотрите пост 4, там есть ссылка, как правильно писать в вирлаб.

Смысла в логах не вижу...

Я вижу.
Прочтите Правила http://forum.drweb.com/index.php?showtopic=277652 .
Или Вы выполняете данные Вам инструкции, или ищете помощи в другом месте.

cureit ничего не нашел

Где лог?!

[slitov]

Сегодня случилось неприятное... Как главбуху сказал что после открытия письма от сбербанка это произошло... На рабочем столе появилать картинка "Все файлы заблокированы и отправлены мне. За подробностями писать мне на эмейл. (адрес не помню)" Тему с шифровкой данных от письма сбербанка прочитал. Но тут немного другое. У всех файлов все осталось по прежнему (расширения), только при открытии вордовских и экселевских файлов быдает ошибку "не удалось запустить конвертер mswrd632". На другом компьютере тоже не открывается и выдает эту ошибку. С компьютера где был вирус документы с сервера открывает нормально. Пример файла:  Утверждаю.doc   34,4К   7 Скачано раз Прошу вашей помощи!

Пришлось купить дешифратор т.к. времени ждать лекарство небыло... Щас буду востанавливать.
У кого на экране вот такое сообщение :
"хочешь увидеть файлы вновь? пиши сюда! backmyfiles@rocketmail.com"
И все файлы не изменили расширение.
Пишите на slitov@list.ru

[Lelik_q3]

Удалось восстановить?

[userr]

Окорок_Есть,
Ваше письмо я скрыл. Сначала должны специалисты посмотреть.

[Окорок_Есть]

Путем долгой переписки и борьбы с платежными системами получен расшифратор который мне помог.
могу выслать его на почту.
сам пользовался на компьютере не подключенном к сети на котором только расшифровал файлы скопировал их на CD и выдал пользователям только то что просили.
кто хочет попробовать лекарство пишите в ответ адрес могу на ваш страх и риск прислать лекарство ... если админы форума не заблокируют мое сообщение. если заблокируют ну как я и говорю спасибо тому кто знает за что
лично мне грозило увольнение с работы, из за неосторожности бухгалтера

[Borka]

Подчеркиваю - ИСКЛЮЧИТЕЛЬНО на всш страх и риск.

[v.martyanov]

Путем долгой переписки и борьбы с платежными системами получен расшифратор который мне помог.
могу выслать его на почту.
сам пользовался на компьютере не подключенном к сети на котором только расшифровал файлы скопировал их на CD и выдал пользователям только то что просили.
кто хочет попробовать лекарство пишите в ответ адрес могу на ваш страх и риск прислать лекарство ... если админы форума не заблокируют мое сообщение. если заблокируют ну как я и говорю спасибо тому кто знает за что
лично мне грозило увольнение с работы, из за неосторожности бухгалтера

Шлите в ваш тикет расшифровщик, номер тикета - в эту тему киньте. Возможно, добавлю расшифровку и в наши продукты.

[Borka]

Архив в теме парой постов выше.

[Окорок_Есть]

чесно говоря в форумах 1 раз так как прижало. боюсь что не осилю что такое тикеты и прочий сленг принятый в общении на форуме. я отправил дешифровщик на форум его заблокировал
userr

так что дешифровщик у вас где то в памяти есть. Спасибо всем кто помог. Простите но болшьше нет времени на этот вопрос.