[iskander-k]

Цитата Dr.FRECH:

Dr.FRECH »

архив отправьте через форму или на quarantine<at>safezone.cc (at=@)с указанной ссылкой на тему и вашим ником(именем на форуме). в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме.
и

Отправьте через данную форму. В строке в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Попробуте эту утилиту . http://support.kaspersky.ru/faq/?qid=208638517


потом
Выложите логи в соответствии с этими инструкциями.

[iskander-k]

Цитата Dr.FRECH:

сам файл сейфа хоть и ужимается с 44мб до 1,5мб, но не прикрепляется. »

Заархивируйте этот файл с паролем virus и залейте на файлообменник . Ссылку выложите в следующем сообщении.

[thyrex]

Dr.FRECH, в дополнение к совету в предыдущем сообщении

1. Принцип шифрования такой оказался:
а) каждый символ имени файла заменяется его кодом
б) первые 8192 байт в каждом файле шифрованы с помощью операции xor 36
2. Я написал собственный дешифровщик, который восстанавливает файлы. Причем файлы Word открываются вообще прекрасно, файлы Excel и архивы при открытии сигнализируют об ошибках, но, как мне кажется, их содержимое все-таки оригинальное

[Dr.FRECH]

как буду за зараженными компами отправлю и выложу логи, утилита от касперского предположительно не поможет так как скрины выложеные там совсем никак не подходят.

[thyrex]

Утилиты от Касперского для этих целей нет. Прежнее название заразы, которую подхватили, - Электронный сейф

В архиве расшифрованные файлы (с теми ограничениями, о которых я писал выше). Но саму программу ждем

[Dr.FRECH]

Забыл написать, перестал грузится эксплорер под этим пользователем, под другими загружается.
Отправил файлы по обоим формам.
http://ifolder.ru/25678433 здесь лежит сейф.ехе.
логи с одного компьютера пока.
thyrex спасибо, но расшифровывать надо около 30гб тока на одном компе...

[alex_sev]

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Обновляйтесь немедленно:
SP3 + все критические обновления Windows (может потребоваться повторная активация)
IE9 + все обновления для него

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\servises.exe','');
 QuarantineFile('C:\Program Files\Цифровой сейф.exe','');
 DeleteFile('C:\WINDOWS\system32\servises.exe');
 DeleteFile('C:\Program Files\Цифровой сейф.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:

O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe

Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

[Dr.FRECH]

Удалить то удалится это все, как мне файлы расшифровать то?

[alex_sev]

Это к thyrex - он программированием занимается - я Вам вот это подправлю:

Цитата:

перестал грузится эксплорер под этим пользователем