зашифровано .uas@nonpartisan.com_* - Форум технической поддержки ESET NOD32

Сообщений: 3

Баллов: 1

Регистрация: 19.08.2013

Размещено 19.08.2013 10:30:47

19.08.2013 на одном из ПК обнаружилось, что файлы начали шифроваться, добавляя к концу имени файла после расширения [email protected]_IQ107. Нужен дешифратор.

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 19.08.2013 11:14:16

Ищите вирус который зашифровал и вложение письма которое было открыто перед заражением. Все это и пару зашифрованных файлов в супорт. Без вируса вряд ли что то получится.

Сообщений: 1

Регистрация: 19.08.2013

Размещено 20.08.2013 09:21:32

Такая же проблема, зашифрованы все офисные файлы, к концу добавлено расширение [email protected]_IQ107. После анализа были найдены следующие вирусы: Trojan-Ransom.Win32.Gimemo.bhmg (дата изменения 16.08.2013) и Trojan.Win32.Bicololo.tcy (19.08.13). Прошу помощи.

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 20.08.2013 09:23:35

прочтите предыдущий пост.

Сообщений: 5

Баллов: 2

Регистрация: 20.08.2013

Размещено 20.08.2013 14:29:08

Расширение поменялось[email protected]_IQ***
После рукоблудства, нашел в системе подозрительные файлы.
Если поможете, то всю свою организацию от конкурентских продуктов, на ваш продукт переведу. Очень на Вас надеюсь.

Изменено: Валентин - 20.08.2013 17:41:27 (Запрещено публиковать вредоносные файлы на форуме.)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 20.08.2013 14:36:31

Ответ в личке.

Сообщений: 5

Баллов: 2

Регистрация: 20.08.2013

Размещено 20.08.2013 19:13:07

Собссно, текстовые и графические файлы сменили расширение на [email protected]_IQ114.
Был обнаружен файл 328.exe и swservice.exe. они в архиве vir.rar.пароль virus
Так же прилагаю лог uVS

И еще прилагаю пару зашифрованных файлов в архиве files.rar.

Прикрепленные файлы

GV_2013-08-20_22-14-09.7z (276.18 КБ)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 20.08.2013 19:27:44

Удалите вирусы с форума! Оставьте только лог!

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 20.08.2013 19:31:02

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.81.1 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delall %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\3FD14.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\328.EXE bl BAA7921EE245495729902B48D9B3C262 700928 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\328.EXE exec "C:\Program Files\ESET\TNod User & Password Finder\uninst-TNod.exe" exec MsiExec.exe /X{11EA1C75-DB0D-410B-B63B-20916EECD568} regt 3 regt 12 regt 18 deltmp delnfr restart

Код

;uVS v3.81.1 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delall %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\3FD14.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\328.EXE
bl BAA7921EE245495729902B48D9B3C262 700928
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\328.EXE
exec "C:\Program Files\ESET\TNod User & Password Finder\uninst-TNod.exe"
exec MsiExec.exe /X{11EA1C75-DB0D-410B-B63B-20916EECD568}
regt 3
regt 12
regt 18
deltmp
delnfr
restart

И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда [email protected]

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа

Сообщений: 5

Баллов: 2

Регистрация: 20.08.2013

Размещено 20.08.2013 19:47:44

Лог МВАМ.

Прикрепленные файлы

MBAM-log-2013-08-20 (22-54-58).txt (2.63 КБ)

зашифровано [email protected]_*