Показано с 1 по 20 из 20.

Вирус в письме якобы от Арбитражного суда защифровал файлы [Trojan-Dropper.Win32.Dapato.dfkd ] (заявка № 149415)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    11.11.2013
    Сообщений
    10
    Вес репутации
    12

    Вирус в письме якобы от Арбитражного суда защифровал файлы [Trojan-Dropper.Win32.Dapato.dfkd ]

    Помогите пожалуйста с лечением компа. Открыли "подробности" в письме и через некоторое время вылезла заставка что вваши файлы смертельно заражены и что можно спасти их написав в ZOG почту. Естественно вымогают деньги. Файлы эксел, ворд, пдф, жпег и наверно и прочие не открываются. Не запущенный вирус сахранен, представляет собой архив с названием Attachment. Симантек не среагировал на вирус. Проверку компа сделал с помощю утилиты Currelt. Ссылки на принтскрин экрана и лог от Currelt: http://files.mail.ru/C5E7D5E15D304895B2A03C9865FECBA6
    http://files.mail.ru/B4BC8E5CBDAA44CEAC73C7AB574F4695
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) uji2000, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,459
    Вес репутации
    2914
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Users\Uji2000\appdata\roaming\digita~1\update~1\update~1.exe','');
     QuarantineFile('C:\Users\Uji2000\appdata\roaming\closer.exe','');
     QuarantineFile('C:\~WinTemp\3f962.exe','');
     QuarantineFile('C:\Users\Uji2000\LOCALS~1\Temp\msyrsuq.com','');
     QuarantineFile('C:\Users\Uji2000\AppData\Local\winrar.exe','');
     DeleteFile('C:\Users\Uji2000\AppData\Local\winrar.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','winrar');
     DeleteFile('C:\Users\Uji2000\LOCALS~1\Temp\msyrsuq.com','32');
     DeleteFile('C:\~WinTemp\3f962.exe','32');
     DeleteFile('C:\Windows\Tasks\7884817.job','64');
     DeleteFile('C:\Windows\Tasks\DigitalSite.job','64');
     DeleteFile('C:\Users\Uji2000\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
     DeleteFile('C:\Windows\system32\Tasks\7884817','64');
     DeleteFile('C:\Windows\system32\Tasks\DigitalSite','64');
     DeleteFile('C:\Users\Uji2000\appdata\roaming\closer.exe','32');
     DeleteFile('C:\Users\Uji2000\appdata\roaming\digita~1\update~1\update~1.exe','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите в HiJack
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = /sandeta.com/themes/sde.exg
    F3 - REG:win.ini: load=C:\Users\Uji2000\LOCALS~1\Temp\msyrsuq.com
    F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe
    O2 - BHO: TrueSuite WebStore - {5cb2b77d-c8ca-44db-af20-a7a4df462a12} - mscoree.dll (file missing)
    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    11.11.2013
    Сообщений
    10
    Вес репутации
    12
    Выполнил, новые логи прилогаю. А что с экранной заставкой от этих гадов? Как ее убрать? И есть возможность расшифровать файлы?
    Вложения Вложения

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,459
    Вес репутации
    2914
    Сделайте лог ComboFix
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member (OID) Репутация
    Регистрация
    11.11.2013
    Сообщений
    10
    Вес репутации
    12
    Сделал.

    - - - Добавлено - - -

    Да , есть еше проблемка, при запуске компа, или после пробуждения после сна, когда запускаешь интернетэксплорер, открывается дополнительное окно с рекламой разных сайтов. Как бы помочь с этим?
    Вложения Вложения
    Последний раз редактировалось uji2000; 19.11.2013 в 16:40. Причина: Разобрался, причина в настройках браузера

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,459
    Вес репутации
    2914
    c:\users\Uji2000\AppData\Roaming\smwdgt удалите
    Что с баннерами после перезагррузки?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member (OID) Репутация
    Регистрация
    11.11.2013
    Сообщений
    10
    Вес репутации
    12
    Не могу найти этот путь. Принт скрин прилагаю: Тотал командер не показывает папку app, также на нем виден отчет Симантека из которого видно, что в компе есть еще троян и его он удалить не может.
    Изображения Изображения

  10. #9
    Junior Member (OID) Репутация
    Регистрация
    11.11.2013
    Сообщений
    10
    Вес репутации
    12
    После очередной проверки AVZ, Симантеком и после выполнения Ваших рекомендаций почти все нормализовалось. Симантек каждый раз при сканировании системы удалет какойто куки. Принтскрин прилагаю. И остается вопрос расшифровки файлов. С этим можете как то помочь?
    Изображения Изображения

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,459
    Вес репутации
    2914
    Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С
    Код:
    KillAll::
    
    File::
    
    Folder::
    c:\users\Uji2000\AppData\Roaming\smwdgt
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

    Цитата Сообщение от uji2000 Посмотреть сообщение
    И остается вопрос расшифровки файлов. С этим можете как то помочь?
    Дешифратором пока никто не поделился
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member (OID) Репутация
    Регистрация
    11.11.2013
    Сообщений
    10
    Вес репутации
    12
    При перносе CFScript.txt на пиктограмму ComboFix.exe. , последний стал обнавляться и после всего вроде выдал отчет.Прилагаю его.
    Еще вопрос, в c:\Program Files (x86)\Информационные Решения\Справочная информация!\ находятся 3 файла. (Принтскрин Тоталкомандера прилагаю) которые Симантек пропускает , но при проверке через сайт www.virustotal.com 2 из них опазнаются как вирусы. Как это понимать и что порекомендуете? Кстати, Симантек продолжает каждый раз при запуске ноута убивать один и тот же куки, про который уже спрашивал выше.
    Изображения Изображения
    Вложения Вложения

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,459
    Вес репутации
    2914
    Удалите эту папку полностью и приступайте к смене паролей
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member (OID) Репутация
    Регистрация
    11.11.2013
    Сообщений
    10
    Вес репутации
    12
    Удалил. Можно надеяться , что ноут теперь чистый? И можно уточнить, пароли на все (почту, 1с, банк-клиент, интернет-ресурсы) или на вход в ноут? На форумах пишут, что у Др Вэба вроде есть утилита частично могущая восстановить файлы, нет информации по ней или по появлению дешифратора? Заранее спасибо за ответ.

  15. #14
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,459
    Вес репутации
    2914
    Пароли на все

    Какое ключевое слово просят сообщить?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #15
    Junior Member (OID) Репутация
    Регистрация
    11.11.2013
    Сообщений
    10
    Вес репутации
    12
    zog666@yahoo.com ключевое слово 333. Опять при включениии ноута симантек обнаружил угрозу , но не может удалить ее . принт скрин прилагаю.
    Изображения Изображения

  17. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,459
    Вес репутации
    2914
    Дешифратором пока никто не поделиллся
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. #17
    Junior Member (OID) Репутация
    Регистрация
    11.11.2013
    Сообщений
    10
    Вес репутации
    12
    С дешифратором все понятно. Получил Др. Вэбовскую утилиту te102decrypt, помогла частично , некоторые файлы восстановила. Но то что нужно, увы. Похоже придется выкупать дешифратор. Помогите разобраться со следующим, каждый день Симантек находит кучу троянов которые удаляет (принтскрин прилагаю) и 1 с которым ничего не может сделать( по нему принтскрин присылал раньше). Это означает, что есть в системе какая то проблема. Как бороться? Спасибо за уже оказанную помощь.
    Изображения Изображения

  19. #18
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,459
    Вес репутации
    2914
    С этим к разработчику своего антивируса. Пусть объяснит его паранойю
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  20. #19
    Junior Member (OID) Репутация
    Регистрация
    11.11.2013
    Сообщений
    10
    Вес репутации
    12
    Спасибо за помощь, попробую поменять антивирус

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,517
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\uji2000\appdata\local\winrar.exe - Trojan-Dropper.Win32.Dapato.dfkd ( BitDefender: Gen:Variant.Zusy.71849, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) uji2000, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 31.08.2013, 22:27
    2. Ответов: 5
      Последнее сообщение: 02.08.2013, 12:05
    3. Ответов: 16
      Последнее сообщение: 24.07.2013, 17:57
    4. Ответов: 7
      Последнее сообщение: 26.06.2013, 12:52
    5. Ответов: 6
      Последнее сообщение: 29.05.2013, 02:00

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00751 seconds with 22 queries