К расширениям файлов *.pdf, *.xls, *.jpg добавлено [email protected]_Q515. Файлы стали вида: [email protected]_Q515. Для лечения сегодня Диск монтировался на другой ПК прогонялся для лечения утилитой LiveCD от DrWeb. Файлы были перемещены в карантин на диске D:\!VIRUS. Поработал видимо шифратор. Часть файлов *.jpg не успело зашифровать. В папке C:\Users\Пользователь\AppData\Roaming\Zvu - находится файл [email protected]_q515. Содержимое похоже на ключ шифрования - код вида как описано в http://virusinfo.info/showthread.php?t=120806 так же с 3 пробелами в конце.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) zrv, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Видимо подцепились старые файлы... В списке LiveCD значится BackDoor.BulkNet.1320. Файл virusinfo_syscure.zip как описано в п.1 Правил (при отключенном интернете и закрытом броузере) не формируется.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Пользователь\AppData\Local\Temp\tmnre.exe','');
QuarantineFile('C:\Users\Пользователь\AppData\Local\Temp\cnixb.exe','');
DeleteFile('C:\Users\Пользователь\AppData\Local\Temp\87.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Updater');
DeleteFile('C:\Users\Пользователь\AppData\Local\Temp\cnixb.exe','32');
DeleteFile('C:\Users\Пользователь\AppData\Local\Temp\tmnre.exe','32');
DeleteFile('C:\WINDOWS\Tasks\sw0x.job','32');
DeleteFile('C:\WINDOWS\Tasks\qcs4z2b5sq.job','32');
DeleteFile('C:\WINDOWS\system32\Tasks\qcs4z2b5sq','32');
DeleteFile('C:\WINDOWS\system32\Tasks\sw0x','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
D:\Установка\vmware603rus\KEYGEN.EXE (Riskware.Tool.CK) -> Действие не было предпринято.
D:\Downloads\Radio_W.exe (PUP.Optional.Conduit) -> Действие не было предпринято.
E:\backup\flash_2011-08-02\Distrib\Avast!\upd20090731\vpsupd.exe (Trojan.FakeAV) -> Действие не было предпринято.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: