Показано с 1 по 10 из 10.

мы поймали шифровальщик HELP@AUSI.COM_XE130 (заявка № 154969)

  1. #1
    Junior Member Репутация
    Регистрация
    10.02.2014
    Сообщений
    4
    Вес репутации
    11

    мы поймали шифровальщик HELP@AUSI.COM_XE130

    Здравствуйте.
    Девушкой -бухгалтером было получено письмо с вложением, якобы из налоговой. Она его, не проверяя установленным антивирусом(SEPCE ver.12),открыла в броузере. В результате получила шифрование файлов.
    Посему, почитав ваш форум и не найдя решения кроме как у Вас, регистрюсь и шлю необходимы логи.
    Заранее спасибо за помощь и советы.
    Пример зашифрованного файла сохранил на файлобменнике http://files.mail.ru/AAAB9D1BD3D343EDAB822D7DA8E8BF87
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) scarysidor, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\~tmp2843946470497207577.tmp','');
     DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\~tmp2843946470497207577.tmp','32');
     DeleteFile('C:\WINDOWS\Tasks\pkho7i2n.job','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

    Установите SP3 (может потребоваться активация) + все новые обновления для Windows
    Установите Internet Explorer 8 (даже если им не пользуетесь)

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    10.02.2014
    Сообщений
    4
    Вес репутации
    11
    спасибо за внимание к проблеме.
    Присланный скрипт выполнил. Карантин отослал. Установил SP3, IE8.
    Сделал новые логи, в том числе и MBAM.
    Прикрепляю...
    В отчёте MBAM "замазал" X ненужные названия.
    Вложения Вложения

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Удалите в МВАМ только указанные ниже записи
    Код:
    C:\Recycled\Dc8756.exe (PUP.Optional.InstallMonstr.A) -> Действие не было предпринято.
    C:\Documents and Settings\user\Local Settings\Temp\2dsve2wefd.exe (Exploit.Drop.GS) -> Действие не было предпринято.
    C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
    C:\Documents and Settings\user\Application Data\africa.bmp (Trojan.Cryptor) -> Действие не было предпринято.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    10.02.2014
    Сообщений
    4
    Вес репутации
    11
    спасибо.
    Удалил указанные. Перезагрузился. Запустил повторную проверку MBAM. Всё тихо.
    Остался вопрос расшифровки файлов.
    Может у кого-нибудь есть мысли на этот счёт?

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Без оригинального дешифратора не обойтись
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    10.02.2014
    Сообщений
    4
    Вес репутации
    11
    Цитата Сообщение от thyrex Посмотреть сообщение
    Без оригинального дешифратора не обойтись
    Т.е., другими словами, надо обращаться к "авторам" трояна и,за деньги, либо используя правоохранительные органы, получить от них дешифратор?

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Именно так
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,543
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 16
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) scarysidor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Поймали шифровальщик backspace@riseup.net_442
      От Дима Тарасов в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 21.01.2014, 19:55
    2. Шифровальщик sos@ausi.com_fg93
      От ДмитрийЮБ в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 06.12.2013, 23:00
    3. Пиратский шифровальщик .SOS@AUSI.COM_ID112
      От 3loy в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.10.2013, 02:24
    4. Шифровальщик файлов HELP@AUSI.COM_XQ125
      От anton2122 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.09.2013, 21:14

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00234 seconds with 22 queries