Один из вариантов троянской программы Trojan.Encoder.102/293 [HEUR:Trojan.Win32.Generic
]
Здравствуйте!
16 декабря 2013 совершенно неожиданно нарисовалась картинка с изображением сомалийского пирата анфасом. В данный момент все файлы зашифрованы, к имени файлу с нормальным расширением добавилось расширение типа [email protected]_546
1С запускается, но не работает, т.е. DBF-файлы также зашифрованы, а MD-файл, соответственно, "жив".
В Назначенных заданиях обнаружил задачу, типа e6psdf, которую я не создавал, и которая запускает файл ~tmp5227238906208187294.tmp.
Задача выполняется каждые 10 минут в течении суток, истекает через 72 часа.
Сделал Acroniso'm образ системы, к сожалению, уже не рабочей, на случай, если что-то в процессе лечения пойдет не так, то можно было вернуться к первоначальному (зараженному) состоянию.
Проверил файл ~tmp5227238906208187294.tmp на virustotal.com, который обнаружил сл.:
Ad-Aware Gen:Variant.Kazy.307373
AhnLab-V3 Backdoor/Win32.Buterat
BitDefender Gen:Variant.Kazy.307373
Comodo TrojWare.Win32.Injector.ANA
ESET-NOD32 Win32/SpyVoltar.B
F-Secure Gen:Variant.Kazy.307373
Fortinet W32/SpyVoltar.A!tr
Ikarus Virus.Win32.Vundo
Malwarebytes Trojan.Agent.EDBP
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Vasso_81, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\~tmp5227238906208187294.tmp','');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\~tmp5227238906208187294.tmp','32');
DeleteFile('C:\WINDOWS\Tasks\6pjvzcgii.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
В данный момент не работает Интернет, после выполнения первого скрипта перестал работать, обновлял базы на другом ПК.
- - - Добавлено - - -
DHCP присваивает ip-адреса, с виду все хорошо, все пингуется и т.д., но браузеры ничего не открывают и не обновляются программы, в т.ч. базы антивирусов.
Интернет чудесным образом заработал, ничего не предпринимал, возможно звезды не так встали или магнитные бури были.
Я так понимаю, что возможности расшифровать зашифрованное, к сожалению, нет?
Все, значит вредоносное ПО удалено. Спасибо за помощь! Менее всего пострадали бэкапы 1С, правда они почти месячной давности, но хоть что-то, в распакованном архиве пострадал только первый файл вроде бы, который можно скопировать с любой рабочей базы. Распаковывал прямо зашифрованный файл. Еще раз, спасибо!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: