смотрел Ваш форум и понял, что не у меня единственного...
но вроде как написано, каждый случай уникален..
так что не стал рисковать и решил изложить суть проблемы:
маленькое предприятие, на почту главбуху сваливаеться письмо следующего содержания:
"ИСПОНИТЕЛЬНОE ПРОИЗВОДСТВO
Увeдомляем вaс о тoм ,чтo в отнoшeнии вaс на сентябрь 2013 г. зaпланировано провeдение мeр принудительного исполнения согласно ст.64 ФЗ " Об исполнительном производстве" судебный пристав - исполнитель с разрешения в письменной форме старшего судебного пристава исполнителя имеет право входить в жилое помещение,занимаемое должником без согласия должника.В настоящее время решается вопрос о получении указанного разрешения и привлечении сил и средств судебных приставов по ОУПДС для совершения исполнительных действий.В случае воспрепятствования исполнению решению суда ваше помещение может быть вскрыто в установленным законом порядке.За невыполнение требований судебнеого пристава-исполнителя предупреждаем Вас об ответственности ст 17.14.17.15 КОАП РФ. Рассмотрение жалоб на постановление ,действие (бездействие) должностных лиц службы судебных приставов поданных в порядке подчиннености в соответствии с главой 18 ФЗ от 02.10.2007 № 229-ФЗ " Об исполнительном производстве" будет рассмотрено согласно прилагаемому образцу в прикреплённом документе. Судебный пристав-исполнитель Лебедев А.Н."
к письму вложения...
ну человек не сильно заморачиваясь открыл файлы во вложениях...
ладно комп, но у человека подключена сетевая папка, как диск, с доками всего предприятия...
в общем файлы зашифрованы и изменено расширение к примеру "Приказ 30.12 о создании комиссии[email protected]_XQ104"
зашифрованны все файлы с расширением: *.doc, .docx, .xls, .pdf, .jpeg http://yadi.sk/d/przlVGmP8dKSf - virusinfo_autoquarantine.zip
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Phoenix007, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Users\B837~1.TYR\AppData\Local\Temp\3398356aq','');
QuarantineFile('C:\Users\B837~1.TYR\AppData\Local\Temp\2904551aq','');
QuarantineFile('C:\Users\Давыдова.TYRES\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Обращаем ваше внимание на четкое формулирование сущности жалобы.exe','');
QuarantineFile('C:\Users\Давыдова.TYRES\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\africa.bmp','');
DeleteFile('C:\Users\Давыдова.TYRES\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\africa.bmp','32');
DeleteFile('C:\Users\Давыдова.TYRES\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Обращаем ваше внимание на четкое формулирование сущности жалобы.exe','32');
DeleteFile('C:\Windows\system32\Tasks\At1.job','64');
DeleteFile('C:\Windows\Tasks\At1.job','64');
DeleteFile('C:\Users\B837~1.TYR\AppData\Local\Temp\2904551aq','32');
DeleteFile('C:\Windows\system32\Tasks\At2.job','64');
DeleteFile('C:\Windows\Tasks\At2.job','64');
DeleteFile('C:\Windows\system32\Tasks\At1','64');
DeleteFile('C:\Windows\Tasks\At1','64');
DeleteFile('C:\Users\B837~1.TYR\AppData\Local\Temp\3398356aq','32');
DeleteFile('C:\Windows\system32\Tasks\At2','64');
DeleteFile('C:\Windows\Tasks\At2','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:
O1 - Hosts: 37.10.117.103 m.vk.com odnoklassniki.ru m.odnoklassniki.ru wap.odnoklassniki.ru vk.com my.mail.ru www.odnoklassniki.ru
O4 - Startup: africa.bmp
O4 - Startup: Обращаем ваше внимание на четкое формулирование сущности жалобы.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
Ваш компьютер находится в домене Domain = tyres.pvt?
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\Давыдова.TYRES\Downloads\Обращаем ваше внимание на четкое формулирование сущности жалобы (1).exe','');
DeleteFile('C:\Users\Давыдова.TYRES\Downloads\Обращаем ваше внимание на четкое формулирование сущности жалобы (1).exe','32');
DeleteFile('C:\Windows\system32\Tasks\{C874D9BD-55D0-43C3-8C2A-59E2BF1043B5}','64');
DeleteFile('C:\Windows\Tasks\{C874D9BD-55D0-43C3-8C2A-59E2BF1043B5}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: