» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

mark74 11:00 19-08-2014
Цитата:

*.*.paycrypt@gmail_com *.*.id-0804402289_decrypt@india.com   оба без толку.

там без приватного ключа который есть только у автора шифровальщика не обойтись. По paycrypt@gmail_com правда некоторые модификации они могут расшифровать, так как произошла утечка этих приватных ключей от первых версий. Видно поняли, что все кто готов и мог заплатить заплатили и пожалели остальных. А для того чтобы можно было расшифровать и остальные надо конфисковать например в ходе обыска у них эти приватные к.лючи. Так что рекомендую почитать http://virusinfo.info/showthread.php?t=164586

Получается дохлый номер?
я перечислю деньги и они могут не ответить...
KEY.PRIVATE файл не найден и айди соответственно не могу узнать.
ужас а у меня стоко важных документов тама рабочих ((((

Talay

Цитата:

ужас а у меня стоко важных документов тама рабочих ((((

Да, и опять люди наступают на одни и те же грабли, забывая про резервное копирование данных

у нас на работе тоже сотрудник почту открыл и посыпались paycrypt@gmail_com и прочее
поэтому вопросы

1.http://www.comss.ru/page.php?id=2117
Kaspersky ScatterDecryptor поможет или нет - кто пробовал ?
2.http://virusinfo.info/tags.php?tag=crypt
На virusinfo.info помогут или бесполезно ??

Зловред прописывается в системе и как именно ?? чето не нашел как источник заразы убрать
Какие антивири защитят от подобных действий - AVG на работе не помог и файл был в rar с пометкой "У вас задолженность" в почте

Р.S
http://forum.kasperskyclub.ru/index.php?app=blog&module=display&section=blog&blogid=345&showentry=1920
ресурс для расшифровки что нашел
https://www.decryptcryptolocker.com/

Так ваш сотрудник просто "почту открыл и посыпались", или всё-таки "файл был в rar с пометкой "У вас задолженность" в почте", и он ЭТОТ ФАЙЛ начал ковырять/открывать/запускать?

krot4224 20:00 25-08-2014
Цитата:

Зловред прописывается в системе и как именно ?? чето не нашел как источник заразы убрать  

закончив дело вирус самоудаляется. Описание виря http://safezone.cc/threads/skript-po-pochte-ili-snova-o-shifrovalschikax.23832/#post-184673RonnY 09:56 26-08-2014
Цитата:

Так ваш сотрудник просто "почту открыл и посыпались", или всё-таки "файл был в rar с пометкой "У вас задолженность" в почте", и он ЭТОТ ФАЙЛ начал ковырять/открывать/запускать?

RonnY приходит письмо с сообщением о задолженности. Бух тут же начинает открывать вложение, чтобы посмотреть кому и за что он задолжал, и вот тут и начинается сыпаться .
так что вирус запускает сам человек.

Цитата:

Какие антивири защитят от подобных действий

касперский и др. веб имхо.

keybtc@gmail_com если быть точнее зашифровал все файлы doc xls pdf на дисках C и D как в папках так и в корне диска
1.создал скрытые файлы свои на C и D в тч текстовый файл с просьбой оплаты в биткоинах
2. в папке temp на С оставил BAT-файл и служебные файлы
те вирус не самоудалился
3. вложение было в rar - сотрудник открыл rar и запустил файл

сегодня расковыривал все его следы - завтра напишу все следы с описание файлов - все файлы следов, батник и файл вируса сохранил

если что в выходные погонять его через почту на тестовой машине - и проверить ловят его kis drweb и прочие

krot4224 19:44 26-08-2014
Цитата:

keybtc@gmail_com если быть точнее

его описание здесь.

Простейшая защита от шифрования - создать на всякий случай файл %temp%\paycrpt.bin (в предыдущей версии - %temp%\crypti.bin) как его создать то - чтото недопонял ??

krot4224 20:33 26-08-2014
Цитата:

 как его создать то  - чтото недопонял ??

берете создаёте любой файл (например текстовый), либо берёте любой существующий и переименовываете его в такое имя .

Ну вот и у нас на работе за одним из компов словили шифровальщика- keybtc@gmail_com. Причем пришло письмо вроде как от нашего поставщика, там архив с файлом .js , ну и пользователь его конечно запустил. Правда NOD32 вроде как прибил часть скрипта, но видать было поздно, примерно треть всех файлов вирус успел зашифровать. Причем что интересно я взял это письмо и попробовал на виртуальной машине, та же версия НОДа все прибивала подчистую, а вот на реальной машине что-то не успела.
Ну что ж - теперь только надеяться что подберут ключи для декодера и добрые люди выложат в сеть.

Alex_TAV 08:22 27-08-2014
Цитата:

Ну что ж - теперь только надеяться что подберут ключи для декодера и добрые люди выложат в сеть.

можете не надеяться, подобрать ключ невозможно. Так что вариант либо купить у автора трояна, либо отобрать у автора трояна после ареста . Во втором варианте вы не поощряете его на написание новых версий шифровальщика и станет возможно бесплатная расшифровка и для остальных. Подобный прецедент уже есть.

"....Простейшая защита от шифрования - создать на всякий случай файл %temp%\paycrpt.bin (в предыдущей версии - %temp%\crypti.bin) "


токо папок temp куча на С в пользователях,в Windows и прочее - в каких создавать файлы ?
у меня например батник вируса остался в папке Temp по пути All users\Temp но не в корневой папке Windows
В настройку переменные среды лезть под пользователем и смотреть куда прописать ? Поменять значения пользовательских и системных переменных в простой путь С:\Temp и туда файл положить - так лучше?

и как файлы защитить чтоб не удалялись при чистке компа например Auslogics BoostSpeed - только для чтения поставить ?

krot4224 19:42 27-08-2014
Цитата:

токо папок temp куча на С в пользователях,в Windоws и прочее - в каких создавать файлы ?   у меня например батник вируса остался в папке Temp по пути All users\Temp но не в корневой папке Windоws

windоws + r - %temp% - enter - автоматом откроется нужная папка

спс за совет - чето не додумался сам

Здравствуйте, подскажите, у меня следующая проблема. Скачал на работе файл htchome_setup .exe по ссылке http://www.htchome.org/jegUS и поймал россыпь гадости - shopperPro, suptab, picric. Что самое плохое пропал интернет - значки все горят, диагностика неполадок ничего не находит, сеть есть (могу зайти на любой комп в офисе), у других интернет тоже есть, а у меня нет. Захожу в google Chrome и тут же появляется надпись dns_probe_finished_no_internet, а стартовая страница поменялась на какую-то другую(тоже не грузится, узнал из поисковой строки, к сожалению не переписал как называется), причём, Касперский тоже не может обновиться, да и не только он, а любая программа на компе, которой нужен доступ к инету его не получает. Попробовал почистить ручками реестр и папки – как результат стартовая страница стала прежней, а надпись dns_probe_finished_no_internet по прежнему висит и интернета нет. Так же была попытка пролечить с помощью Malwarebytes' Anti-Malware и True Sword 5. Каждая из них нашла по файлу, удалила, а интернет и ныне там((( Вот что теперь делать ума не приложу?..
З.Ы. Сисадмина у нас фактически нет, так, для галочки наняли - я объяснил проблему, всё показал, а он развёл лишь руками.
З.Ы.Ы. ОС Windows 7

Werewolfff
Если бы проверили файл, то вряд ли бы установили:
https://www.virustotal.com/ru/file/28a1daec150fe0b5fa5967aeec58ae0364109f6761f449d25404e8d9f16add1e/analysis/1408696662/
А это анализ того сайта:
https://www.virustotal.com/ru/url/1ce95c31c641414bd57b3b107f84dff8351364f63237af07057ddf649f099751/analysis/1409249261/

Werewolfff лучше всего создайте тему с просьбой о помощи здесь или здесь (на обоих сразу не надо).

А самостоятельно удалите эти свежие программы через установку программ. Ещё можно с помощью AdwCleaner почистить, но надо смотреть что он удаляет. Да и другая зараза там может быть. Так что лучше создайте теме и попросите там помочь .

Добавлено:
krot4224 этот семпл ещё выкачивает
Код: \Local Settings\Temporary Internet Files\Content.IE5\SPQPQ1GH\Show-Password_1030-8100[1].exe

Возможно и ни в ту ветку пишу. Ничего ближе не нашел.
В какой-то момент в трее рядом с часами появился круглый значок с белой буквой "е" на синем фоне. При нажатии выскакивает поисковая строка. Прилагаю скриншот.



Адрес расположения этой службы не могу найти.
Помогите избавиться от непонятно чего.

Задал вопрос и отвечу на него сам. Это не вирус, но нежелательная программа и называется она SupTab В деинсталляторах, включая и стандартный, не было видно этой программы. Удалил, руками, надеюсь полностью с компьютера.
Может кто и воспользуется данной информацией.
Какой я молодец
Может себе еще и благодарность выставить

zanyda

Цитата:

Какой я молодец Может себе еще и благодарность выставить

... а также выписать премию и устроить пир горой.

Цитата:

В деинсталляторах, включая и стандартный, не было видно этой программы. Удалил, руками

Понятное дело, что не ногами. Но как? Какие ключи реестра или что? Если опишите последовательность своих действий, тогда будет помощь .

Living things для удаления SupTAb и других подобных программ можно использовать AdwCleaner (by Xplode), но надо смотреть внимательно что он предлагает удалить. Бывает и легал там в списке. Как им пользоваться описано здесь.

После борьбы с вирусами (и победы?) при запуске компа стало выскакивать такое



Гугль-гум молчит)

Добавлено:
ciucwvvg.exe

Добавлено:
В автозагрузке ничего близкоподобного не вижу(

copsmith

Цитата:

После борьбы с вирусами (и победы?) при запуске компа стало выскакивать такое

Если это вирус - имя может быть произвольным.

Цитата:

В автозагрузке ничего близкоподобного не вижу(

Можно проверить, не осталось ли записи от удалённой (несуществующей) службы:

'Пуск' > 'Панель управления' > 'Администрирование' > 'Службы'

Также можно проверить 'левое' задание в 'Планировщике заданий':

'Пуск' > 'Панель управления' > 'Администрирование' > 'Планировщик заданий'

P.S. Поиск 'хвостов' о записях - дело муторное

Цитата:

'Службы'- 'Планировщик заданий'

В Службах - ничего похожего, в Планировщике - Adobe и Google.
Тупым поиском по компу "ciucwvvg" - ничего не найдено

copsmith

[more=Проверить реестр]
...Если разделы автозапуска:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

и

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

не содержат ничего лишнего с данным именем ('ciucwvvg.exe '), то проверить:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

оригинальные ключи в этой ветви должны иметь вид:

Shell (reg sz) = explorer.exe
Userinit (reg sz) = C:\Windows\system32\userinit.exe,

если они не такие, либо что-то дописано после запятой в Userinit - изменить их, как написано выше.
Если в этой ветви ничего подозрительного нет, проверить:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

значение ключа AppInit_DLLs (reg sz) должно быть пустым.[/more].

copsmith на несколько постов выше, а точней тут оставлял две ссылки на форумы, где проведут полное обследование и напишут скрипт для излечения. Только повторюсь дублировать запрос на обоих форумах не надо и перед созданием темы прочитайте правила запроса о помощи.

Tridentifer
Просмотрела внимательно, всё, как вы описали, всё нормально.
И сегодня при запуске компа ошибка уже не выскочила.
Допускаю, что действительно собака порылась тут:
Цитата:

'Пуск' > 'Панель управления' > 'Администрирование' > 'Планировщик заданий'

Я оттуда вчера перед выключением компа удалила задания для Adobe и Google

copsmith
сделайте лог HijackThis