WinERASERR - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - WinERASERR (http://forum.oszone.net/showthread.php?t=222452)

Здравствуйте. На днях "посчастливилось" увидеть данного "зверька". В следствие действий этого вируса-вымогателя были зашифрованы документы Майкрософт Офис (все кроме .rtf), архивы zip, файлы изображений и базы данных dbf. Что бы более подробно ознакомить вас с зловредом позвольте разместить ссылочку по которой находится довольно подробное его описание.
Возможно кто то из вас уже с ним сталкивался? Есть ли действенные способы устранения последствий заражения данным вирусом? Заранее благодарен за комментарии.

Цитата:

Цитата MDMax

Есть ли действенные способы устранения последствий заражения данным вирусом? »

Выложите логи в соответствии с этими инструкциями.

К сожалению не имею возможности произвести запись логов, т.к. инфицирован (к счастью) не мой компьютер, к которому не имею доступа.

Увы, без логов сделать что-либо не представляется возможым.

Пришлите несколько зашифрованных файлов сюда (перед этим заархивируйте).

Выкладываю логи и несколько шифрованных файлов.

Отключите:
Антивирус/Файерволл

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\RunDll.exe','');

 DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\RunDll.exe');

 DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187563}');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

ПК перезагрузится. Выполните скрипт в AVZ:

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Архив quarantine.zip из папки с AVZ отошлите через веб-форму.

Сделайте новые логи AVZ & RSIT

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы
Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки
После сканирования должен открыться лог. Если этого не произошло, то нажмите ОК => Отчеты. Откройте лог, сохраните его и прикрепите к сообщению

Файлы на анализ отправил.

S.R, спасибо, но файлы quarantine.zip и лог сканирования не могу выслать, т.к. доступа к "пациенту" не будет в ближайшее время.

MDMax, хорошо. Заодно постарайтесь вспомнить, в результате чего произошло заражение.

S.R, определить в какой момент произошло заражение практически невозможно, т.к. человек, работавший на этом компьютере ничего необычного не заметил. Единственное, что можно сказать, вирус пришел из Интернета, т.к. съемными носителями не пользовались, а только интернетом.

MDMax, Возможно, человек скачал и запустил какой-нибудь кряк или кейген, спросите. От этого зависит успешность расшифровки.

S.R, в том, что кряк или кейген не запускали уверен, это точно.

Может быть программы с сомнительным функционалом? Вроде бесплатной отправки смс и просмотра чужой корреспонденции.

Нет ни какие программы в этот день не устанавливали.

Ладно, подождём карантина и новых логов.

Думаю тему можно закрывать, т.к. решение, скорее всего, найдено не будет.