Здравствуйте!
Мой компьютер был заражен одной из версий трояна encoder. В названии большинства файлов появилось дополнительное .JYCvs , при попытке открытия возникает экран с предложением заплатить в течении 7 дней иначе файлы будут удалены.(см. скриншот) При нажатии "оплатить" появляется предложении проверить настройки соединения и отключить файрволл(также на скриншоте).
-Приложение отвечающее за появление этого окна называется 7day, соответствующий процесс (он исчезает при закрытии окна и появляется при попытке открыть файл) называется 8Cqbd.exe, он хранится вместе с конфигурационным файлом в папке Program Files в директории (по-видимому, созданной самим трояном)auF2. Содержимое папки- в приложенном архиве auF2.rar .
-Также в system32 прописался процесс system.exe, постоянно активный. Присоединить папку с ним к сообщению здесь почему-то не получается.
-файлы архивов .zip .rar и рисунки .png не были зашифрованы
Я запустил сканирование Nod32, обнаружилось два трояна, затем после перезагрузки Нод обнаружил еще один (логи в приложенном файле Nod32logs.txt).
Затем я запустил быструю проверку Cureit! в безопасном режиме. Вирусов обнаружено не было, однако было обнаружено и исправлено изменение файла HOSTS.
Следует ли удалить программу 8Cqbd.exe и можно ли восстановить зашифрованные данные?
Буду крайне благодарен за рекомендации и помощь, спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) polniy_p, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Файлов mrpky.exe и netprotocol.exe в Application Data нет, зато есть файл 79.exe , созданный одновременно с остальными вирусными файлами. Добавить его в скрипт карантина?
P.S. на форуме есть еще одна тема с абсолютно аналогичными симптомами http://virusinfo.info/showthread.php?t=117783 .
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: