Prvo proveri kako se zove pa onda instaliraj neki Anti-spyware pa mi reci šta je našao i kako se zove ta napast.

Obican virus ti to nije mogao napraviti, na sistemu sigurno imas rootkita koji prikriva backdoora, crypto-program i ko zna sta jos.

Skinuo sam ga vec sa Kasperskim preko mreze (skenirao sam njegov racunar sa mog) i nasao je gomilu (preko 170) fajlova zarazenih sa jako mnogo virusa, trojanaca i sl. Covek mi je priznao da je isao na neki porno sajt, kao hteo da downloaduje neki klip i posle toga veselje...koliko se secam (od kuce pisem pa ne mogu da vidim log Kasperskog) jedan od virusa se zove nesto tipa PE.Crypt.Generic videcu sutra tacan naziv. Kriptovao je doslovce sve xls, doc, jpg i slicne fajlove, secam se da je na root-u C particije pravio porn.exe, updater.exe, zarazen je svchost.exe, mnogo dll-ova XP-ovih da ih ne nabrajam medju kojima je i kernel32.dll, znaci skoro potpuni pad XP-a, uspeo sam da pokrenem masinu u Safe modu sa Networkingom jedino...

Ja sam mu vec rekao da verovatno nema spasa tim dokumentima ali ajde da probam da pomognem coveku...

Moguce je da ima spasa, ali za sada ne bi trebalo nista dirati. Ako zaista postoji i moze da se kupi dekriptor, program je morao negde ostaviti kljuc za dekriptovanje. AV kompnije ce pronaci kako se do njega dolazi, samo im daj vremena...

Koliko sam ja razumeo kljuc je :

AD7D6889
010200000168000000A4000048C0ED1799507399
845D3BC55DC617A8C6287213E06159C70ED8C7C6
391990B4698E6C84784BAF12035C8CFB7A8AE756
D9A86768C9487F0E9C2DB51BB6F8BF9428839EC9
12E04A724D6092B68821964AE9FC05E25817C9BC
09BFB23629E52F8ED2637680664602A377B27468
D47FA7BAAD868E69717E9ABCC2E568F0302D18A6

jer sam pretrazio net u vezi RSA-1024 algoritma za kriptovanje, jos samo da nadjem dekripter :)....

Evo par virusa : RootKit.Win32.Qandr.bs, Backdoor.Win32.SdBot.eek, Trojan-Downloader.Win32.Small.iyr, PE-Crypt.UPX

Moj savet:
Svakoj antivirusnoj kompaniji biće u interesu da baš ona zakrpi svoje
korisnke od napasti. Daj neki od dokumenata nekoj ozbiljnoj laboratoriji,
Kaspersky Lab, F-secure response lab, ili avira response lab, neko od njih
će ti vrlo brzo odgovoriti šta da radiš. Tih trojanaca koji kriptuju ima
jako dosta na virusnom nebu.

Hello!
My name is Vitaly, I am virus analyst from Kaspersky Lab. Unfortunately I don't speak your language, so I hope you understand English.

Dear Ptosic, could you be so kind to contact us and let us try to help you. Please do not reinstall/clean your system until we found the source of infection.

Please contact me via email: Vitaly.Kamluk [~at~] kaspersky.com

Thank you.

Hello Vitaly and welcome to our forum!
Thank you for your competition in solving our problems..
If mister Ptosic not speaking English, somebody of members will translate
problem and will contact you via e-mail.
Thank you more once!

Poslao sam coveku mail sa objasnjenjima, na engleskom naravno. Bas me iznenadilo to da se neko interesuje za nase probleme a nije iz Srbije :). Nadam se da ce mi pomoci oko ovoga.

Pozdrav

Ptosic, super! Javi rezultate.

Potpuno isto se dogodilo kod mene. Isto kolega zeznio firmin kompjuter. Jedina razlika što se normalno logirao, t.j. nije trebalo ići u safe mode, i dodan nastavak na svakom fajlu je "_CRYPT". Očito su bili na istoj stranici. Kako imamo sistem inžinjera proslijediću mu ovaj fajl pa neka proba riješiti u suradnji s Mr. Vitaly.
Kad neko iz Kasperskog zaviruje na ovaj forum, je priznanje samom forumu.

To je to care. Ista stvar samo sto je ovaj nahvatao i jos nesto pride pa je zarazen i svchost.exe cak i kernel32.dll. XP je puk'o skroz posle pokusaja ciscenja ali sam sacuvao kriptovane fajlove za slucaj da se nadje alatka za dekripciju.

Vi o vuku, on na vrata eto zanima me bas sta ce da se desi i da li ce covek moci da pomogne

Interesantno je da nije dirao "zip" fajlove. Tako da kod nas postoje neki kriptirani i nekriptirani identični fajlovi, a to bi već moglo da pomogne. Onaj ključ koji se navodi čisto sumnjam da nečemu služi.

Vidis...to nisam ni proveravao.


Elem...covek je nasao koji je virus kriptovao fajlove, updateovao bazu AV, ja ga pronasao (sa jos par nekih propratnih trojanaca), zipovao mu virus i poslao onako kako je trazio sa sve AV scan log-om da bi napravio dekripter. Ako nemate updateovan AV proverite da li na c:\Documents And Settings\LocalServices\LocalSettings\Temporary Internet
Files\Content.IE5\O1MJKP2R\ ima gpc.exe ili gpc[1].exe.

Evo ga i poslednji AV scan log doticnog racunara, mozda nekome pomogne :

Scan : completed
----------------
Scanned: 34997
Detected: 11
Untreated: 10
Start time: 6/5/2008 8:15:13 AM
Duration: 00:21:28
Finish time: 6/5/2008 8:36:41 AM


Detected
--------
Status Object
------ ------
deleted: Trojan program Trojan-Dropper.Win32.NSIS.f File: \\Ilija\c$\Documents and Settings\Ilija\Local Settings\Temp\.tt1A.tmp
detected: Trojan program Trojan-Dropper.Win32.NSIS.f File: \\Ilija\c$\Documents and Settings\Ilija\Local Settings\Temp\.tt5.tmp
detected: Trojan program Trojan-Downloader.Win32.Injecter.ss File: \\Ilija\c$\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WT7N4OGI\notepad32[2].exe
detected: Trojan program Trojan.Win32.Vapsup.gcg File: \\Ilija\c$\WINDOWS\vregfwlx.dll
detected: virus Heur.Trojan.Generic (modification) File: \\Ilija\c$\WINDOWS\system32\svchost.exe:exe.exe
detected: Trojan program Trojan-Downloader.Win32.Mutant.acm File: \\Ilija\c$\WINDOWS\system32\WinNt32.dll
detected: Trojan program Trojan-Downloader.Win32.Mutant.acm File: \\Ilija\c$\WINDOWS\system32\WinNt32.dl_
detected: Trojan program Trojan-Downloader.Win32.Mutant.acl File: \\Ilija\c$\WINDOWS\system32\drivers\djN15.sys
detected: Trojan program Trojan-Downloader.Win32.Mutant.acl File: \\Ilija\c$\WINDOWS\system32\drivers\yeJ84.sys
detected: virus Virus.Win32.Gpcode.ak File: \\Ilija\c$\WINDOWS\Temp\13.tmp
detected: virus Virus.Win32.Gpcode.ak File: \\Ilija\c$\WINDOWS\Temp\14.tmp

Za sad trenutno nema leka za ovo s*****. Postojao je sličan cryptvirus pre par godina. Medjutim njegov kod je bio loše uradjen i samo nekih 667 bit odprilike, tako da je bio provaljen u dogledno vreme. Ovaj sadašnji je nažalost mnogo bolje uradjen. Čitao sam negde da je Kaspersky Labs tražio od ostalih AV kompanija da se udruže i da zajedno pokušaju da ga provale. Naime kod je prilično dobro napisan, dok sama dužina crypta od 1024 bit je manje više nemoguće razbiti. U svakom slučaju će biti vrlo interesantno pratiti šta će da se desi.

Znam da sa ovim nisam nikom pomogao i iskreno mi je žao. Ali sam smatrao da je informacija sama po sebi bitna.

Pa dobro ljudi sta se desava sa ovim problemom, niko nista ne kaze, da li je sredjeno ili ne??

kaspersky je izdao neki program za uklanjanje virusa i delimično vraćanje fajlova.Nisam još imao prilike da ga isprobam, ali voleo bih da čujem da li radi?

Evo odgovora koji sam dobio :

Hello,
I am happy to announce you that we have published the first approach of
restoring your files after Gpcode.ak attack.

Please check our web blog post:
http://www.viruslist.com/en/weblog?weblogid=208187531

Detailed instructions can be found on virus description webpage:
http://www.viruslist.com/en/vi...cyclopedia?virusid=313444#doc2

Additionally I want to let you know that we will continue working on
other approaches to help you recovering files.

Have a good luck!

Regards,
Vitaly Kamluk <[email protected]>
Senior Virus Analyst
Kaspersky Lab

Imam i ja neke bube. Ako bih prebacio sve sa C particije na D, ili ako bih sve to prebacio na disk, pa očistio kompjuter, da li bi nešto pomoglo?

Auh...to je to care...to je virus o kojem se prica...ako ti kriptuje fajlove jedino ces ih vratiti sa nekim undelete programom ali prvo ocisti virus...nemoj prebacivati nista na drugu particiju jer ti nece pomoci...

Otmica fajlova.Najnovija verzija virusa otmicara Gpcode prestavlja veliku pretlju.
Kada se tokom 2005.godine pojavila prva verzija virusa otmicara fajlova nazvanog "Gpcode" , to je prestavljalo senzaciju i prekretnicu u istoriji cyber kriminala.Ideja njegovog kreatora bila je jednostavna,ali genijalna:kriptovi vazne dokumente na napadnutom racunaru,a zatim traziti novac za kljuc koji ce fajlove dekriptovati i omoguciti ponovan pristup njihovom sadrzaju.

Kada je taj batica izbacio novu verziju 660-bitnim kljucem,taj kljuc mogao je da se razbije (pod uslovom da algoritam pravilno primenjen) potrebno je oko 30 godina uz razunar sa procesorom 2 GHz.Medjutim,antivirusnoj kompaniji Kaspersky poslo je za rukom samo za jedan dan,posto je gresku napravio autor VIRUSA.Nocna mora je odlozena na kratko vreme.U junu ove godine je lik izbacio verziju kljuca 1024-bitni enkripcijski.Sada je laboratoriji kompanije Kaspersky postalo nemoguce sa razbije ovaj KLJUC
U pocetku je bilo misterija kada je u pitanju nacin sirenja virusa,ali je otkrivena sledeca metoda: sa fajlom u MS Word formatu dolazi VB macro koji instalira trojanac na racunar zrtve,a trojanac zatim preuzima i instalira "Gpcode" sa tajne lokacije na internetu.Virus je sposoban da kriptuje preko 80 fejlova.Kad zavrsi posao,u svakom direktorijumu gde je nesto enkriptovao ostavlja se dokumenet sa adresom autora radi konktakta i naplate ucene,a zatim brise samog sebe. KREATIVNOST,ZNANJE.DOBRE IDEJE...SVAKA CAST!STETA STO JE SVE TO ISKORISTIO U NEGATIVNE SVRHE.


To je to ukratku o virusu!!!POZZZ ljudi

Dr.Web antivirus je za najnoviju verziju Trojan.Encodera izbacio alat za dekriptovanje fajlova ovim virusom. Trenutno je to alat za verziju Trojan.Encoder.21.

http://news.drweb.com/show/?i=84&c=5

He he, članak iz Sveta Kompjutera
Svaka cast coveku! Smislio maleni kod koji ce mu doneti brdo para.

Koliko sam ja shvatio problem je u ekstenziji fajla.
Da li ste pokusali sve to da vratite u normalu pomocu fukcije REN?

nije problem u ekstenziji.. problem je u tome sto su fajlovi enkriptirani :)