Добрый день.
Вчера мне принесли компьютер, где зашифрованы пользовательские файлы. На рабочем столе висит картинка с текстом "Ваши файлы заблокированы вирусом Для разблокировки пишите сюда svchost@london.com Вашему случаю присвоен ID0 5 4 Сообщите его на почту без него восстановление будет затруднительно".. Впервые сталкиваюсь с подобным вирусом. Интернета на компе нет - DHCP вырублен, при попытке зайти в центр управления сетями пишет что не удалось запустить дочернюю службу. Пытался ручками запустить dhcp, не запускается, пишет типа что нет прав. Разумеется, под учёткой админа.
Помогите пожалуйста расшифровать файлы!
Вот два из них http://dump.ru/file/5871933

Может никто ничего не шифровал, а на компьютере очередная инкарнация баннера?
Антивирус есть на машине?

Был, АВГ2011, я ещё Malwarebytes просканировал, тот нашёл 10 объектов, причём что интересно - несколько из них было в c:\program files\winrar.inc\Архив WinRaR, один из файлов называется free_update.exe, другой mmm.bat, в нём del svchost.exe

советую скачать Kaspersky Rescue Disk 10 (ссылка (http://support.kaspersky.ru/viruses/rescuedisk?level=2)) и проверить ПК, загрузившись с livecd.

я ещё Malwarebytes просканировал »
хорошая программа, выручает часто, главное обновлять постоянно

Спасибо. Эх, мне б файлы расшифровать :( Систему снесу нафиг, как только расшифрую. Насколько я понимаю, расшифровка невозможна без тела вируса?

Проверьте вышеуказанной программой, а там видно будет
Плюс здесь же на форуме есть раздел посвященный именно борьбе со всякой "заразой" (вот ссылка (http://forum.oszone.net/forum-87.html) ). Попробуйте туда обратиться.

Интернета на компе нет - DHCP вырублен, »Это очередная бодяга? Вспомните ваши последние действия на предмет установки.
Эх, мне б файлы расшифровать »дайте пару файлов сюда, если возможно и на ссылку в какой программе создавались. Может ларчик намного проще?

дайте пару файлов сюда, если возможно и на ссылку в какой программе создавались »
в шапке

Там походу не в DHCP дело, а вообще в винсоке. Резет через netsh винсока и интерфейсов не помог.

Нашёл тело вируса!
http://dump.ru/file/5872118
Помогите кто-нибудь с расшифровкой, плиз!

Вирус был скачан вот отсюда: https://dl.dropbox.com/u/110463054/mhp_ruscolclientid54.rar
Распостраняется через емэйл. Письмо от коллекторского агенства с угрозами :)

Вам в раздел в лечения.

Вам в раздел в лечения. »Это файлам уже не поможет.
totaleclypse@vk, поковыряюсь, но ни чего не обещаю.

totaleclypse@vk, посмотрел я твои файлы хекс редактором. Они не зашифрованы, они грубо испорчены. Далее запустил в sandboxie твой вирус, также чисто в виртуалке запускал. Внутри него 2 экзешника, они распаковались в C:\Program Files\WinRaR.inc\Архив WinRaR и запустились. В C:\Documents and Settings\<user>\Главное меню\Программы\Автозагрузка добавлено напоминание.txt. И это всё. Системные файлы вроде не модифицированы. Информации для восстановления файлов нигде нет (маловероятно что она внутри файла). Пораскидал по системе jpg, но вирус почемуто ничего не испортил :(

Как вы эти вирусы цепляете? Уж сколько времени система и браузер не обновляется, антивиря нет, флеш, скрипты, всё включено, сижу под админом... и ни одного виря.
mmm.bat »
Нету такого. Вот какие изменения в реестре показала песочница: Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\123]

[HKEY_LOCAL_MACHINE\123\machine]

[HKEY_LOCAL_MACHINE\123\machine\software]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes\AppID]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes\CLSID]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes\CompressedFolder]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes\CompressedFolder\shell]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes\CompressedFolder\shell\open]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes\CompressedFolder\shell\open\ddeexec]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\COM3]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\ole]
"EnableDCOM"="N"

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion\Explorer]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket]
"NukeOnDelete"=dword:00000001
"UseGlobalSettings"=dword:00000001

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"Common Start Menu"="C:\\Documents and Settings\\All Users\\Главное меню"
"Common Desktop"="C:\\Documents and Settings\\All Users\\Рабочий стол"
"Common Documents"="C:\\Documents and Settings\\All Users\\Документы"

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion\Uninstall]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion\Uninstall\Архив WinRaR 3.5]
"DisplayName"="Архив WinRaR 3.5"
"DisplayVersion"="3.5"
"VersionMajor"=dword:00000003
"VersionMinor"=dword:00000005
"Publisher"="WinRaR.inc"
"DisplayIcon"="C:\\Program Files\\WinRaR.inc\\Архив WinRaR\\Uninstall.exe"
"UninstallString"="C:\\Program Files\\WinRaR.inc\\Архив WinRaR\\Uninstall.exe"
"InstallLocation"="C:\\Program Files\\WinRaR.inc\\Архив WinRaR\\"
"InstallSource"="C:\\Documents and Settings\\Win XP\\Рабочий стол\\"
"InstallDate"="20121008"
"Language"=dword:00000419
"EstimatedSize"=dword:00000478
"NoModify"=dword:00000001
"NoRepair"=dword:00000001

[HKEY_LOCAL_MACHINE\123\machine\software\Policies]

[HKEY_LOCAL_MACHINE\123\machine\system]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Control]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Control\MediaProperties]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Control\MediaProperties\PrivateProperties]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Control\MediaProperties\PrivateProperties\Jo ystick]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Control\MediaProperties\PrivateProperties\Jo ystick\Winmm]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Services]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Services\WinSock2]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Services\WinSock2\Parameters]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catal og5]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalo g9]

[HKEY_LOCAL_MACHINE\123\user]

[HKEY_LOCAL_MACHINE\123\user\current]

[HKEY_LOCAL_MACHINE\123\user\current\software]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProc ess]
"BrowseNewProcess"="yes"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ {2ccb6de0-b2c7-11e0-8fd9-806d6172696f}]
"BaseClass"="Drive"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ {2ccb6de5-b2c7-11e0-8fd9-806d6172696f}]
"BaseClass"="Drive"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ {49dc63e0-b2ad-11e0-8ded-0003ffbf1230}]
"BaseClass"="Drive"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ {e315c8b0-0612-11e2-814b-806d6172696f}]
"BaseClass"="Drive"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ {e315c8b1-0612-11e2-814b-806d6172696f}]
"BaseClass"="Drive"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"Desktop"="C:\\Documents and Settings\\Win XP\\Рабочий стол"
"Start Menu"="C:\\Documents and Settings\\Win XP\\Главное меню"
"Personal"="C:\\Documents and Settings\\Win XP\\Мои документы"
"Startup"="C:\\Documents and Settings\\Win XP\\Главное меню\\Программы\\Автозагрузка"
"Cache"="C:\\Documents and Settings\\Win XP\\Local Settings\\Temporary Internet Files"
"Cookies"="C:\\Documents and Settings\\Win XP\\Cookies"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap]
"ProxyBypass"=dword:00000001
"IntranetName"=dword:00000001
"UNCAsIntranet"=dword:00000001
"AutoDetect"=dword:00000001

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\ShellNoRoam]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Documents and Settings\\Win XP\\Рабочий стол\\mhp_ruscolclientid54.scr"="Архив WinRaR 3.5 Installation "
"C:\\Program Files\\WinRaR.inc\\Архив WinRaR\\svchost.exe"="svchost"
"C:\\Program Files\\WinRaR.inc\\Архив WinRaR\\free_update.exe"="free_update"

[HKEY_LOCAL_MACHINE\123\user\current\software\SandboxieAutoExec]
@=hex:31

[HKEY_LOCAL_MACHINE\123\user\current_classes]

[HKEY_LOCAL_MACHINE\123\user\current_classes\*]

[HKEY_LOCAL_MACHINE\123\user\current_classes\*\shell]

[HKEY_LOCAL_MACHINE\123\user\current_classes\*\shell\sandbox]

Это файлам уже не поможет. »
Кто знает, но именно там выполняют лечения а не тут.

но именно там выполняют лечения а не тут. »
Вот спасибо что подсказал где лечат битые фото. Поговорить хочется?

totaleclypse@vk, посмотреть небыло времени, но как и обещал, поковыряю.
Не совсем понятно, вы их уже пытались восстанавливать или это "оригинал" ?

План помещения до перепланировки
http://i065.radikal.ru/1210/67/7d599574ebd8t.jpg (http://radikal.ru/F/i065.radikal.ru/1210/67/7d599574ebd8.jpg.html)
второй файл
http://i078.radikal.ru/1210/a3/4e255091383ft.jpg (http://radikal.ru/F/i078.radikal.ru/1210/a3/4e255091383f.jpg.html)
Более пока не получается:)

Поговорить хочется? »
Хочется :)

Sphinx114, спасибо Вам за проделанный анализ. Я вот тоже ковыряю, но толку пока маловато. Тем более, я не программер, а сисадмин.
Комп не мой, а юзверя, она открыла (с её слов) какое-то письмо, прошла по ссылке и запустила файл...
Вообщем, буду признателен за любую помощь.

http://s018.radikal.ru/i508/1210/1e/38d7f609a852t.jpg (http://radikal.ru/F/s018.radikal.ru/i508/1210/1e/38d7f609a852.png.html)

Вообщем, буду признателен за любую помощь. »
Было бы неплохо на будущее озаботиться двумя вопросами:

1. Резервное копирование.
Все люди делятся на две категории: те, кто ЕЩЁ НЕ делает бэкапы и те, кто УЖЕ делает.

2. Application Whitelisting.
Системные администраторы должны знать, что от подобного рода угроз антивирусны защитить не могут, но блестяще справляется Software Restriction Policies. Ищите информацию, пробуйте делать.

Было бы неплохо на будущее озаботиться двумя вопросами:
1. Резервное копирование.
Все люди делятся на две категории: те, кто ЕЩЁ НЕ делает бэкапы и те, кто УЖЕ делает.
2. Application Whitelisting.
Системные администраторы должны знать, что от подобного рода угроз антивирусны защитить не могут, но блестяще справляется Software Restriction Policies. Ищите информацию, пробуйте делать. »
Проблема не у меня на компе. Проблема у бухгалтерши. Она и я разные люди. Она бухгалтер, а не сисадмин, и всё делает в последнюю очередь.