Форум esetnod32.ru [тема: Вирус изменил названия файлов]

Форум esetnod32.ru [тема: Вирус изменил названия файлов] http://forum.esetnod32.ru Новое в теме Вирус изменил названия файлов форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 16 Apr 2026 05:41:14 +0300 Вирус изменил названия файлов Вирус изменил названия файлов в форуме Обнаружение вредоносного кода и ложные срабатывания.
Alex,
надо смотреть что там внутри этого файла. там много файлов создается в папке temp
если есть такие строки в файле, тогда поможет.

====quote====
-----BEGIN PGP PRIVATE KEY BLOCK-----
Version: GnuPG v1
........................
-----END PGP PRIVATE KEY BLOCK-----
=============

20.05.2015 10:45:46, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11956/message85449/ http://forum.esetnod32.ru/messages/forum6/topic11956/message85449/ Wed, 20 May 2015 10:45:46 +0300 Обнаружение вредоносного кода и ложные срабатывания Вирус изменил названия файлов Вирус изменил названия файлов в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
доки зашифрованы этим ключом

====quote====
gpg: ключ EFE2B3A5: импортирован открытый ключ "Cellar"
gpg: Всего обработано: 1
gpg: импортировано: 1

- Public keyring updated. -

File: X:\active\shifr\bat.encoder.vault\47\Temp\pubring.gpg
Time: 27.04.2015 13:55:41 (27.04.2015 7:55:41 UTC)

=============
такой еще файл поищите, возможно среди удаленных

%temp%\a5180538.fccb9d8d

VAULT.KEY зашифрован этим ключом

====quote====
gpg: зашифровано ключом RSA с ID D6B5E4AA
gpg: сбой расшифровки: закрытый ключ не найден

File: X:\active\shifr\bat.encoder.vault\47\Temp\VAULT.KEY
Time: 27.04.2015 14:05:52 (27.04.2015 8:05:52 UTC)

=============
---------
+
вышлите письмо, которое было открыто, и с которого началось заражение.
=============

Добрый день!
А файл %temp%\a5180538.fccb9d8d поможет для восстановления???Просто у меня он засейвился, ясное дело только имя другое
20.05.2015 09:39:29, Alex Dragon.]]> http://forum.esetnod32.ru/messages/forum6/topic11956/message85447/ http://forum.esetnod32.ru/messages/forum6/topic11956/message85447/ Wed, 20 May 2015 09:39:29 +0300 Обнаружение вредоносного кода и ложные срабатывания Вирус изменил названия файлов Вирус изменил названия файлов в форуме Обнаружение вредоносного кода и ложные срабатывания.
нет, к сожалению, и во втором варианте ключа secring.gpg
27.04.2015 17:59:32, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11956/message84764/ http://forum.esetnod32.ru/messages/forum6/topic11956/message84764/ Mon, 27 Apr 2015 17:59:32 +0300 Обнаружение вредоносного кода и ложные срабатывания Вирус изменил названия файлов Вирус изменил названия файлов в форуме Обнаружение вредоносного кода и ложные срабатывания.
Направил восстановленные файлы папки TEMP программой 7-data (2 вариант).
27.04.2015 16:44:43, Владимир Вострецов.]]> http://forum.esetnod32.ru/messages/forum6/topic11956/message84759/ http://forum.esetnod32.ru/messages/forum6/topic11956/message84759/ Mon, 27 Apr 2015 16:44:43 +0300 Обнаружение вредоносного кода и ложные срабатывания Вирус изменил названия файлов Вирус изменил названия файлов в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
не просто удаляется, а затирается другим контентом, потом еще и удаляется.

====quote====
echo 22c08873a146c31bde2d41975a3443c3 f6c0cb1c780594058f3fd5bc> "%temp%\secring.qpq"
echo dcf8d32cf58509e2 b079e38627a449b5f6c0cb1c063d247223aaa08f>> "%temp%\secring.qpq"
echo dcf8d32c f58509e2b079e386 27a449b5f6c0cb1c 063d247223aaa08f>> "%temp%\secring.qpq"
echo 8ebb1c5d5d815594915c6e9539fd997d 35408bce98523bad6a637799>> "%temp%\secring.qpq"
echo c46f9c20379c7e94 470bfedf404b066abc489daee0f61f5d601820d9>> "%temp%\secring.qpq"
echo 5d815594 470bfedf 5a3443c3de2d4197 29539e2a 063d247223aaa08f>> "%temp%\secring.qpq"
move /y "%temp%\secring.qpq" "%temp%\secring.gpg"

del /f /q "%temp%\secring.gpg"

=============
пробуйте восстановить вообще все что было удалено в папке %temp%
возможно, получится восстановить полезную для расшифровки

=============
Направил восстановленные файлы папки TEMP
27.04.2015 16:25:52, Владимир Вострецов.]]> http://forum.esetnod32.ru/messages/forum6/topic11956/message84758/ http://forum.esetnod32.ru/messages/forum6/topic11956/message84758/ Mon, 27 Apr 2015 16:25:52 +0300 Обнаружение вредоносного кода и ложные срабатывания Вирус изменил названия файлов Вирус изменил названия файлов в форуме Обнаружение вредоносного кода и ложные срабатывания.
С помощью утилиты восстановления файлов нашел файл svchost.exe, a2b0796b.83469cdb
27.04.2015 16:12:46, Владимир Вострецов.]]> http://forum.esetnod32.ru/messages/forum6/topic11956/message84757/ http://forum.esetnod32.ru/messages/forum6/topic11956/message84757/ Mon, 27 Apr 2015 16:12:46 +0300 Обнаружение вредоносного кода и ложные срабатывания Вирус изменил названия файлов Вирус изменил названия файлов в форуме Обнаружение вредоносного кода и ложные срабатывания.
не просто удаляется, а затирается другим контентом, потом еще и удаляется.

====quote====
echo 22c08873a146c31bde2d41975a3443c3 f6c0cb1c780594058f3fd5bc> "%temp%\secring.qpq"
echo dcf8d32cf58509e2 b079e38627a449b5f6c0cb1c063d247223aaa08f>> "%temp%\secring.qpq"
echo dcf8d32c f58509e2b079e386 27a449b5f6c0cb1c 063d247223aaa08f>> "%temp%\secring.qpq"
echo 8ebb1c5d5d815594915c6e9539fd997d 35408bce98523bad6a637799>> "%temp%\secring.qpq"
echo c46f9c20379c7e94 470bfedf404b066abc489daee0f61f5d601820d9>> "%temp%\secring.qpq"
echo 5d815594 470bfedf 5a3443c3de2d4197 29539e2a 063d247223aaa08f>> "%temp%\secring.qpq"
move /y "%temp%\secring.qpq" "%temp%\secring.gpg"

del /f /q "%temp%\secring.gpg"

=============

пробуйте восстановить вообще все что было удалено в папке %temp%
возможно, получится восстановить полезную для расшифровки инфо
27.04.2015 15:51:49, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11956/message84753/ http://forum.esetnod32.ru/messages/forum6/topic11956/message84753/ Mon, 27 Apr 2015 15:51:49 +0300 Обнаружение вредоносного кода и ложные срабатывания Вирус изменил названия файлов Вирус изменил названия файлов в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
да, отправил письмо с архивом в вирлаб.
по расшифровке документов: без secring.gpg расшифровки не будет.
проверьте наличие теневых копий, или архивных копий документов.
=============
Я так понимаю что файл был удален после шифровки. Подскажите а если попробовать восстановить его утилитами восстановления файлов, возможно его будет восстановить?
27.04.2015 14:23:44, Владимир Вострецов.]]> http://forum.esetnod32.ru/messages/forum6/topic11956/message84749/ http://forum.esetnod32.ru/messages/forum6/topic11956/message84749/ Mon, 27 Apr 2015 14:23:44 +0300 Обнаружение вредоносного кода и ложные срабатывания Вирус изменил названия файлов Вирус изменил названия файлов в форуме Обнаружение вредоносного кода и ложные срабатывания.
да, отправил письмо с архивом в вирлаб.
по расшифровке документов: без secring.gpg расшифровки не будет.
проверьте наличие теневых копий, или архивных копий документов.
27.04.2015 12:15:00, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11956/message84734/ http://forum.esetnod32.ru/messages/forum6/topic11956/message84734/ Mon, 27 Apr 2015 12:15:00 +0300 Обнаружение вредоносного кода и ложные срабатывания Вирус изменил названия файлов Вирус изменил названия файлов в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
письмо, если содержит вложение, желательно в архиве,
или только вложение в архиве с паролем infected,
иначе антивирусы могут прибить по дороге.
=============
Заархивировал и отправил.
27.04.2015 11:42:59, Владимир Вострецов.]]> http://forum.esetnod32.ru/messages/forum6/topic11956/message84733/ http://forum.esetnod32.ru/messages/forum6/topic11956/message84733/ Mon, 27 Apr 2015 11:42:59 +0300 Обнаружение вредоносного кода и ложные срабатывания Вирус изменил названия файлов Вирус изменил названия файлов в форуме Обнаружение вредоносного кода и ложные срабатывания.
письмо, если содержит вложение, желательно в архиве,
или только вложение в архиве с паролем infected,
иначе антивирусы могут прибить по дороге.
27.04.2015 11:31:57, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11956/message84732/ http://forum.esetnod32.ru/messages/forum6/topic11956/message84732/ Mon, 27 Apr 2015 11:31:57 +0300 Обнаружение вредоносного кода и ложные срабатывания Вирус изменил названия файлов Вирус изменил названия файлов в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
доки зашифрованы этим ключом

====quote====
gpg: ключ EFE2B3A5: импортирован открытый ключ "Cellar"
gpg: Всего обработано: 1
gpg: импортировано: 1

- Public keyring updated. -

File: X:\active\shifr\bat.encoder.vault\47\Temp\pubring.gpg
Time: 27.04.2015 13:55:41 (27.04.2015 7:55:41 UTC)

=============
такой еще файл поищите, возможно среди удаленных

%temp%\a5180538.fccb9d8d

VAULT.KEY зашифрован этим ключом

====quote====
gpg: зашифровано ключом RSA с ID D6B5E4AA
gpg: сбой расшифровки: закрытый ключ не найден

File: X:\active\shifr\bat.encoder.vault\47\Temp\VAULT.KEY
Time: 27.04.2015 14:05:52 (27.04.2015 8:05:52 UTC)

=============
---------
+
вышлите письмо, которое было открыто, и с которого началось заражение.
=============

Этот файл %temp%\a5180538.fccb9d8d не найден.
Письмо переслал, оно будет с адреса skmnew@bk.ru
27.04.2015 11:28:10, Владимир Вострецов.]]> http://forum.esetnod32.ru/messages/forum6/topic11956/message84731/ http://forum.esetnod32.ru/messages/forum6/topic11956/message84731/ Mon, 27 Apr 2015 11:28:10 +0300 Обнаружение вредоносного кода и ложные срабатывания Вирус изменил названия файлов Вирус изменил названия файлов в форуме Обнаружение вредоносного кода и ложные срабатывания.
доки зашифрованы этим ключом

====quote====
gpg: ключ EFE2B3A5: импортирован открытый ключ "Cellar"
gpg: Всего обработано: 1
gpg: импортировано: 1

- Public keyring updated. -

File: X:\active\shifr\bat.encoder.vault\47\Temp\pubring.gpg
Time: 27.04.2015 13:55:41 (27.04.2015 7:55:41 UTC)

=============
такой еще файл поищите, возможно среди удаленных

%temp%\a5180538.fccb9d8d

VAULT.KEY зашифрован этим ключом

====quote====
gpg: зашифровано ключом RSA с ID D6B5E4AA
gpg: сбой расшифровки: закрытый ключ не найден

File: X:\active\shifr\bat.encoder.vault\47\Temp\VAULT.KEY
Time: 27.04.2015 14:05:52 (27.04.2015 8:05:52 UTC)

=============
---------
+
вышлите письмо, которое было открыто, и с которого началось заражение.
27.04.2015 11:03:23, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11956/message84730/ http://forum.esetnod32.ru/messages/forum6/topic11956/message84730/ Mon, 27 Apr 2015 11:03:23 +0300 Обнаружение вредоносного кода и ложные срабатывания Вирус изменил названия файлов Вирус изменил названия файлов в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
по VAULT
1. вышлите в почту safety@chklst.ru письмо с вредоносным вложением, лучше в архиве с паролем infected
2. читаем VAULT. что делать
http://chklst.ru/forum/discussion/1481/vault-chto-delat#Item_2
3. из папки %TEMP% юзера откопируйте в архив temp с паролем infected все файлы размером от 500б до 3-4кб, которые были созданы на дату и время запуска шифратора.
архив temp так же вышлите в почту safety@chklst.ru
=============
Спасибо! Отправил все необходимое.
27.04.2015 10:58:30, Владимир Вострецов.]]> http://forum.esetnod32.ru/messages/forum6/topic11956/message84729/ http://forum.esetnod32.ru/messages/forum6/topic11956/message84729/ Mon, 27 Apr 2015 10:58:30 +0300 Обнаружение вредоносного кода и ложные срабатывания Вирус изменил названия файлов Вирус изменил названия файлов в форуме Обнаружение вредоносного кода и ложные срабатывания.
не просто изменил название файлов, но и зашифровал их содержимое, при этом затерев оригиналы файлов.

по VAULT
1. вышлите в почту safety@chklst.ru письмо с вредоносным вложением, лучше в архиве с паролем infected
2. читаем VAULT. что делать
http://chklst.ru/forum/discussion/1481/vault-chto-delat#Item_2
3. из папки %TEMP% юзера откопируйте в архив temp с паролем infected все файлы размером от 500б до 3-4кб, которые были созданы на дату и время запуска шифратора.
архив temp так же вышлите в почту safety@chklst.ru
27.04.2015 10:20:31, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11956/message84727/ http://forum.esetnod32.ru/messages/forum6/topic11956/message84727/ Mon, 27 Apr 2015 10:20:31 +0300 Обнаружение вредоносного кода и ложные срабатывания Вирус изменил названия файлов Вирус изменил названия файлов в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте!
По интернету пришло письмо, кадровик его открыла и после этого на всех файлах Office добавлено за расширением .vault. Помогите вернуть все файлы в исходное состояние.
27.04.2015 10:14:18, Владимир Вострецов.]]> http://forum.esetnod32.ru/messages/forum6/topic11956/message84726/ http://forum.esetnod32.ru/messages/forum6/topic11956/message84726/ Mon, 27 Apr 2015 10:14:18 +0300 Обнаружение вредоносного кода и ложные срабатывания