gototopgototop

Подписаться

Введите Ваш email:

Поиск по сайту

Введите ключевое слово:

Реклама

Лечение крипто-вируса MotherFucker v1.0


Рейтинг 5.0 из 5. Голосов: 1
  
Поделиться
Плюсануть
Поделиться

После заражения на машине оказываются зашифрованы и не открываются все пользовательские файлы с расширениями *txt,*doc,*docx,*xls,*jpg,*bmp,*mp3 и прочие не системные файлы, кроме *exe и других исполняемых файлов. Также пропадает рисунок рабочего стола. Зараза просит оправить смс для получения ключа дескриптора. В противном случае грозиться по истечении 12 часов уничтожить все данные.

За это безобразие отвечают файлы: FYKRAGNL.exe и IIWIPEZIPMPPPJXI, оба в папке C:\windows\system32. Первый можно сразу удалить, предварительно убив процесс. Второй файл "IIWIPEZIPMPPPJXI" является лог-файлом. Ни в коем случае нельзя стирать лог файл, ибо в нём весь список ваших файлов. Если вы стерли файл, то надо его создать: Total Commander находим все файлы с расширением .crypted, далее кнопка "в панель", далее выделяем все файлы, инструменты - копировать полные имена файлов, вставляем в блокнот и сохраняем как надо.  Лог должен обязательно быть в system32.

Далее запускаем утилиту (ftp://ftp.drweb.com/pub/drweb/tools/te47decrypt.exe), она подхватывает лог и начинает обрабатывать криптованные файлы. Декриптованные файлы создаются рядом с криптованными и уже в нужном нам виде. Далее поиском находим все файлы с расширением *.crypted и shift+delete их!

После необходимо очистить реестр от ошибок, связанных с удалением файла FYKRAGNL.exe. Их там будет очень много. Далее перезагружаем машину. После перезагрузки надо переназначить приложения по умолчанию для открытия основных типов файлов.

Возможно,  данная зараза подкачивается даунлоадером sdra64.exe. В таком случае скорее всего explorer не запускается, рабочий стол не отображается. Для лечения надо запустить explorer из диспетчера задач, в реестре ключ userinit привести в правильное состояние:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon -> ключ userinit должен иметь вид C:\WINDOWS\system32\userinit.exe. После убиваем файлы:

  1. C:\WINDOWS\system32\sdra64.exe
  2. C:\WINDOWS\services.exe
  3. C:\WINDOWS\slrundl.exe

P.S.: Также убиваем папку C:\WINDOWS\system32\lowsec


 
Читайте далее:Читайте новое:

Добавить комментарий

Защитный код
Обновить

Copyright © 2008-2012 Компьютер - что это?All Rights Reserved.
Сайт разработан в Mks-Seo