hope1972 | Помощь треба

You're viewing

hope1972's journal
Create a Dreamwidth Account Learn More

Reload page in style: site light

hope1972

Сегодня вдруг начали глючить некоторые программы. При рассмотрении обнаружен файл readme.txt следующего содержания.
Some files are coded by RSA method.
To buy decoder mail: l45028@mail.ru
with subject: RSA 5 99827064481640649631

Это вирус, я знаю... он лечится? Тут пишут, что лечится
http://community.livejournal.com/ru_hacker/41987.htm
Но Касперский его не нашел :( видимо базы устарели...
Попорчено куча текстовых файлов, вернее, все - включая html и doc файлы. Что делать? Я хочу восстановиться.... кто-нить поможет?

Flat | Top-Level Comments Only

From:

http://users.livejournal.com/_wc_/

Новая волна опасного троянца Trojan.Encoder

17 апреля 2006 года

Служба вирусного мониторинга компании «Доктор Веб» сообщает о значительном росте числа вирусных инцидентов с участием печально известной троянской программы Trojan.Encoder, которая в течение уже нескольких месяцев служит орудием шантажа определенной преступной группы. Неосторожные пользователи, получив эту программу по электронной почте (в основном, в спам рассылках) и пытаясь открыть инфицированное вложение, мгновенно лишаются всех файлов документов на своем компьютере - они оказываются закодированными, а для их раскодирования прест пники требуют перевести деньги на указываемый ими счет одной из международных платежных систем.

Ранее наша компания уже сообщала об этом троянце (см. нашу новость от 27 января). Тогда же нами была разработана специальная утилита, с помощью которой можно раскодировать "обработанные" троянской программой файлы документов. Этой утилитой можно воспользоваться и сейчас - ею можно расшифровывать и файлы, пострадавшие в результате недавних атак "троянца".

По поступающей в последние дни информации, повторное появление этого же (теперь уже несколько видоизмененного) троянца Trojan.Encoder связано с распространением русскоязычного почтового червя массовой рассылки Win32.HLLM.Perf, известного также под именами Email-Worm.Win32.Bagle.fw, New Malware.aj, PSW.Ldpinch.AWF, TSPY_LDPINCH.IT, Trojan-PSW.Win32.LdPinch.hk, Trojan.Pinch.A@m, Trojan.Win32.Inject.z. Данный почтовый червь не вызвал какой-либо эпидемии, присутствие его в интернете минимально, поскольку рассылает он письма исключительно на русском языке.

Компания «Доктор Веб» в очередной раз напоминает всем пользователям интернета о необходимости предельно осторожно обращаться с любыми почтовыми сообщениями, поступающими от неизвестных адресатов, либо вызывающими подозрение своей необычностью. Следует помнить, что электронная почта - основное средство для кибер-преступников, с помощью которого они могут доставить вредоносный код на компьютеры своих доверчивых жертв. При этом наличие постоянно обновляемой антивирусной программы является необходимым условием безопасной и эффек ивной работы с данными.

http://www.drweb.ru/news/1194/ - тут посмотри...

From:

hope1972.livejournal.com

Спасибо. Вообще-то я пользуюсь Батом, поэтому никаких спамных писем я не получаю, удаляю их сразу на серваке, и тем более, не активирую! Откуда он просочился - ума не приложу. Даже более того, грешу на антивирусник Avast! после его очередного обновления все и случилось. Он сам этот вирус не определяет.

From:

hope1972.livejournal.com

Но я соврешненно не представляю, как действовать. Инструкция, что по ссылке, для меня как китайская грамота.

From: (Anonymous)

1) Скачать http://http.drweb.ru/drweb/windows/te_decrypt.exe в C:\
(если С - метка диска содержащего повреженные файлы, если метка другая - соотв. D:\ и тд)
2) Создать в C:\ новый текстовой документ
- Написать в нем:
for /R %%f in (*.*) do te_decrypt.exe "%%f"
for /R %%i in (*.decr) do move "%%i" "%%~dpni"
- Переименовать этот текстовой документ в "decrypt.bat"
(перед переименованием убедится, что в "Свойствах папки" НЕ стоит галочка "скрывать разрешения для известных типов файлов)
3) Нажать "Пуск" выбрать "Выполнить..." (Start \ Run... в ен версии).
- ввести cmd и нажать ввод
4) В открывшемся ДОС окне вводить:
- cd C:\ <ввод>
- decrypt.bat <ввод>
5) Ждать пока декриптор закончит работать.. (как это выглядет - не знаю, не смотрел. просто "перевел" инструкцию :).

Удачи.