Сообщений в теме: 277

[wit2006]

Спасибо iqmaster в реестре в этой ветке сидела ссылка на bat файл, после ее удаления все встало на свои места!!!

[d0ct0rfs]

wit2006 (22 Июль 2013 - 08:34) писал:

Спасибо iqmaster в реестре в этой ветке сидела ссылка на bat файл, после ее удаления все встало на свои места!!!

Батник бы тоже не мешало отловить, изучить и прибить .........

[wit2006]

d0ct0rfs (22 Июль 2013 - 10:17) писал:

Батник бы тоже не мешало отловить, изучить и прибить .........

Батник был отловлен, в нем простая операция по запуску браузера 1 раз в день и перевод на сайт продажи изделий из дерева www.woodporten.com
более подробно про эту гадость сегодня нашел в инете http://stop-winlock....portentcom.html

[Vik]

Так, народ, наша бухгалтерша поймала вчера шифратор, шифрующий все файлы документов, картинок и музыки. Добавляющий к имени зашифрованного файла такое расширение .mboaue@yahoo.com_S6. DrWeb ES и DrWeb for Kerio WinRoute пропустили эту заразу, но, видимо прибили тело вируса по эвристике, когда он решил размножиться (мое предположение) или убил себя сам... К сожалению, я сам был в командировке в другом подразделении, другой админ констатировал заражение, по путям автозагрузок нашел несколько уже пустых ссылок (самих файлов, на которые ссылались записи не было). Но документы зашифрованы почти все, кроме тех, которые были открыты на момент заражения. Не помогли утилиты ни Касперского, ни AVZ, ни CureIt. В Инете тоже никто дешифратор еще не выложил. У кого есть какая-нибудь информация, сообщите, плиз!

[d0ct0rfs]

wit2006 (22 Июль 2013 - 13:04) писал:

Батник был отловлен, в нем простая операция по запуску браузера 1 раз в день и перевод на сайт продажи изделий из дерева www.woodporten.com
более подробно про эту гадость сегодня нашел в инете http://stop-winlock....portentcom.html

Спасибо. Будем иметь в виду.

[iqmaster]

Vik (23 Июль 2013 - 07:36) писал:

Так, народ, наша бухгалтерша поймала вчера шифратор, шифрующий все файлы документов, картинок и музыки. Добавляющий к имени зашифрованного файла такое расширение .mboaue@yahoo.com_S6. DrWeb ES и DrWeb for Kerio WinRoute пропустили эту заразу, но, видимо прибили тело вируса по эвристике, когда он решил размножиться (мое предположение) или убил себя сам... К сожалению, я сам был в командировке в другом подразделении, другой админ констатировал заражение, по путям автозагрузок нашел несколько уже пустых ссылок (самих файлов, на которые ссылались записи не было). Но документы зашифрованы почти все, кроме тех, которые были открыты на момент заражения. Не помогли утилиты ни Касперского, ни AVZ, ни CureIt. В Инете тоже никто дешифратор еще не выложил. У кого есть какая-нибудь информация, сообщите, плиз!

К сожалению, как я понял, лекарства еще нет. Вирус вроде воинствует с апреля этого года. Поспрашивал у техподдержки Касперского и Веба, те и другие просят прислать файлы для анализа, логи Hijackthis и AVZ, говорят еще нет лекарства. Там ключ порядка 700 бит. Единственное, народ говорит, что авторы дешифратор высылают, но за деньги.

Вот что примерно пишет Касперский:

Цитата

Расшифровать файлы, не зная ключ, невозможно. Если информация очень ценная, остается только один вариант - платить злоумышленнику, как бы это не способствовало его "бизнесу".
Как правило, подобные "бизнесмены" просят прислать зашифрованный файл, чтобы пользователь мог убедиться в наличии дешифратора, а после оплаты присылают и всю информацию для расшифровки (вместе с дешифратором)

P.S. Специалисты из вирлабов рекомендуют обращаться сразу в полицию

--------------------------------------------------------------------------------------

Как вариант, попробовать RectorDecryptor: http://support.kaspe...viruses/utility

[wit2006]

iqmaster (23 Июль 2013 - 09:02) писал:

К сожалению, как я понял, лекарства еще нет. Вирус вроде воинствует с апреля этого года. Поспрашивал у техподдержки Касперского и Веба, те и другие просят прислать файлы для анализа, логи Hijackthis и AVZ, говорят еще нет лекарства. Там ключ порядка 700 бит. Единственное, народ говорит, что авторы дешифратор высылают, но за деньги.

Печально, при длине ключа 700 бит расшифровкой без дешифратора заниматься бессмысленно, если только у кого-то есть мейнфрейм

[Vik]

wit2006 (23 Июль 2013 - 09:36) писал:

Печально, при длине ключа 700 бит расшифровкой без дешифратора заниматься бессмысленно, если только у кого-то есть мейнфрейм

Ага, или ферма NVidia Cuda

[Baragoz]

Доброе утро. Подскажите, пожалуйста. Есть два "пдф" файла и изображение одного из них требуется совместить с изображением второго. Яндекс "говорит", что фотошоп в помощь. Но может быть есть попроще программа, а то времени разбираться нет.

[iqmaster]

Baragoz (14 Сентябрь 2013 - 09:44) писал:

Доброе утро. Подскажите, пожалуйста. Есть два "пдф" файла и изображение одного из них требуется совместить с изображением второго. Яндекс "говорит", что фотошоп в помощь. Но может быть есть попроще программа, а то времени разбираться нет.

Если рассматривать только бесплатное ПО, то как вариант PDFsam Basic: http://www.pdfsam.org/download/

Есть русский язык.

Возможности:

Разделение PDF файлов на главы, отдельные страницы и т.д.
Объединение нескольких документов PDF.
Вырезание фрагмента документа и сохранение его в отдельный PDF файл.
Возможность объединять в один документ страницы, взятые из двух PDF-файлов, как в прямом, так и в обратном порядке.
Поворот страниц PDF документа с сохранением в отдельный файл.
Изменение порядка страниц выбранного PDF документа.
Возможность визуального составления документа, путем перетаскивания страниц из разных PDF файлов.

Если при установке скажет, что не найден файл javaw.exe то потребуется установить Java: www.java.com

[Лесоруб]

Чёрт побери! что сделать чтобы браузер "Хром" да и эксплорер тоже не начинали при открытии загружать вот эту страницу h ttp://ru-minecraft.org/? Получатся что она стартовая в 2 арбузах, но как убить её не пойму. В прошлый раз удалял Хром полностью лишь тогда исчезло.

[iqmaster]

Лесоруб (19 Декабрь 2013 - 11:51) писал:

Чёрт побери! что сделать чтобы браузер "Хром" да и эксплорер тоже не начинали при открытии загружать вот эту страницу h ttp://ru-minecraft.org/? Получатся что она стартовая в 2 арбузах, но как убить её не пойму. В прошлый раз удалял Хром полностью лишь тогда исчезло.

Очистить файл Hosts и посмотреть свойства ярлыков браузеров, там в строке ОБЪЕКТ может быть дописан адрес сайта после имени файла, этот адрес надо стереть.

Файл Hosts (стереть все записи, оставить только запись 127.0.0.1 localhost):

Ищем тут, открывать можно блокнотом C:WindowsSystem32Driversetc




Свойства ярлыка (удалить ссылку):




Еще. Паренек с чувством юмора рассказывает:

[Лесоруб]

Hosts смотрел и раньше было всё нормально, но чтоб и свойства ярлыка прописалось такое впервые за 8 лет общения с компьютером, спасибо
iqmaster помогло.

[ГАРИК]

в преддверии проверки АРМ
Как удалить содержимое ветки реестра, если PsExec не запускается?

Пока вид печальный:

[iqmaster]

ГАРИК (28 Январь 2014 - 11:22) писал:

в преддверии проверки АРМ
Как удалить содержимое ветки реестра, если PsExec не запускается?

Пока вид печальный:

Качай

USB Oblivion

Утилита USBOblivion предназначена для стирания следов подключения USB-дисков и CD-ROM'ов из реестра в Windows 2000, Windows XP, Windows 2003, Windows Vista,
Windows 7 и 8 как 32, так и 64-битных версиях. Утилита имеет также тестовый режим работы, т.е. без фактического удаления данных из реестра, и, на всякий случай,
создаёт .reg-файл для отмены всех изменений. Также имеется полностью автоматический режим работы. Есть русский язык.

Плюс удаляй файлы sepupapi.app.log и setupapi.dev.log

Если пользователей несколько, то нужно залогинится под всеми пользователями компьютера, и запустить утилиту для каждого, т.к. реестр конкретного пользователя загружается только при его логине в систему.
P.S. Работа утилиты требует наличия административных полномочий у текущего пользователя.

Следы подключенных телефонов не удаляет, только USB флешек. Для остальных следов используй USBDeview и ручками удаляешь ветки.