-
Junior Member
- Вес репутации
- 40
WinLocker зашифровал все файлы в пользовательском каталоге
Добрый вечер!
Случилось так, что нехороший троян пробрался на рабочий АРМ и зашифровал все данные в пользовательском каталоге. При отображении расширений файлов наблюдаются следующие названия: "имя_файла.расширение[email protected]_710"
Удаление лишней части расширения ни к чему не приводит. Точнее, в зависимости от типа файла, выдается сообщение что он поврежден, либо открывается в дикой кодировке.
Пример зараженного файла можно просмотреть по ссылке.
(Сразу хочу извиниться, файл смог выложить только один, безобидный с точки зрения содержания, остальные выкладывать просто не имею права..)
Печально, но антивирус не был установлен, нонсенс, но это так (виновные уже в грядущий понедельник понесут наказание).
Система была проверена при помощи Dr.Web CureIt!, был обнаружен троян (слегка поторопился и теперь не могу назвать его точного имени..), следуя рекомендации - был удален.
Логи выполнения скриптов программ AVZ и HiJackThis прилагаются:
HiJackThis.rar
virusinfo_syscure.zip
virusinfo_syscheck.zip
Очень расчитываю на Вашу помощь!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) UrQuatro, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\POTEMK~1\AppData\Local\Temp\3fd3a.exe','');
DeleteFile('C:\Users\POTEMK~1\AppData\Local\Temp\3fd3a.exe','32');
DeleteFile('C:\Windows\system32\Tasks\8w7x8','32');
DeleteFile('C:\Windows\system32\Tasks\8w7x8.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
Выполнено
HiJackThis.rar
virusinfo_syscure.zip
virusinfo_syscheck.zip
Согласно Приложения 2 просмотрен карантин - там пусто.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-