Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Вирус шифровальщик Filecoder.CB (ESET) (заявка № 157200)

  1. #1
    Junior Member Репутация
    Регистрация
    22.03.2014
    Сообщений
    11
    Вес репутации
    10

    Вирус шифровальщик Filecoder.CB (ESET)

    Добрый день! Схватил вирус, причина заражения мне не понятна. Никаких писем с решением суда .exe я не открывал. Возможно это скаченный файл - есть подозрение на word файл с резюме скаченный на форуме, после которого word долго что-то обновлял (макросы отключены с уведомлением). Кроме того, ESS5 находит только txt и htm с классификацией filecoder.CB. Файлы которые явно выдают источник заражения, на мой взгляд, не выявлены. Хотя новых заражений не происходит. Добавил текстовые уведомления о заражении и примеры зашифрованных файлов в архивах.
    Изображения Изображения
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) asus04, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,244
    Вес репутации
    1022
    В MBAM удалите все кроме:

    Код:
    Обнаруженные файлы:
    C:\Users\sham\Downloads\DTLite4471-0333.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
    C:\Users\sham\Downloads\outlast-[torrentino].exe (PUP.Optional.ZvuZona) -> Действие не было предпринято.
    C:\Users\sham\Downloads\PDFCreatorSetup.exe (PUP.Optional.Bundle) -> Действие не было предпринято.
    C:\Users\sham\Downloads\PDFReaderSetup.exe (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
    C:\Users\sham\Downloads\portal-2-_torrentino.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
    D:\downloads\youtube-downloader.exe (PUP.Adware.Agent) -> Действие не было предпринято.
    D:\downloads\torrent\bsplayer pro 2.57.1048 Final NNTT k236\Keygen\CORE10k.EXE (PUP.Keygen.Intro) -> Действие не было предпринято.
    D:\work\888\ФПК2011\Программы\Снятие, подбор и опредление пароля\PassView 1.5\PassMaker.exe (PUP.PassView) -> Действие не было предпринято.
    D:\work\888\ФПК2011\Программы\Снятие, подбор и опредление пароля\ProduKey v1.01\ProduKey.exe (PUP.PSWTool.ProductKey) -> Действие не было предпринято.
    E:\Новая папка\Daemon Tools Pro Advanced v5.1.0.0333 Final ML_RUS\DAEMONToolsPro510-0333.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
    E:\Новая папка\Winamp Pro v 5.622 Build 3189 Final\KeyGen by\CORE\CORE10k.EXE (PUP.Keygen.Intro) -> Действие не было предпринято.
    E:\Новая папка\Winamp Pro v 5.622 Build 3189 Final\KeyGen by\CORE\keygen.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято.
    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  5. mike 1 получил(а) благодарность за это сообщение от


  6. #4
    Junior Member Репутация
    Регистрация
    22.03.2014
    Сообщений
    11
    Вес репутации
    10
    Сканировал еще раз, вот результат.
    Вложения Вложения

  7. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,244
    Вес репутации
    1022
    Это осталось:

    Код:
    Обнаруженные ключи в реестре:  6
    HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} (PUP.Optional.Qone8) -> Действие не было предпринято.
    HKCU\Software\InstallCore\1I1T1Q1S (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
    HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\Google\Chrome\Extensions\pelmeidfhdlhlbjimpabfcbnnojbboma (PUP.Optional.QuickStart.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} (PUP.Optional.Qone8) -> Действие не было предпринято.
    HKLM\Software\awesomehpSoftware (PUP.Optional.Awesomehp.A) -> Действие не было предпринято.
    
    Обнаруженные параметры в реестре:  1
    HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0H1L1J1L1S1R1N -> Действие не было предпринято.
    
    Объекты реестра обнаружены:  6
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (PUP.Optional.Awesomehp.A) -> Плохо: (http://www.awesomehp.com/?type=hp&ts=1394667435&from=amt&uid=WDCXWD1001FALS-00E8B0_WD-WMATV691987319873) Хорошо: (http://www.google.com) -> Действие не было предпринято.
    HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command| (PUP.Optional.Awesomehp.A) -> Плохо: (C:\Program Files\Internet Explorer\iexplore.exe http://www.awesomehp.com/?type=sc&ts=1394667435&from=amt&uid=WDCXWD1001FALS-00E8B0_WD-WMATV691987319873) Хорошо: (iexplore.exe) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (PUP.Optional.Awesomehp.A) -> Плохо: (http://www.awesomehp.com/web/?type=ds&ts=1394667435&from=amt&uid=WDCXWD1001FALS-00E8B0_WD-WMATV691987319873&q={searchTerms}) Хорошо: (http://www.google.com) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.Awesomehp.A) -> Плохо: (http://www.awesomehp.com/?type=hp&ts=1394667435&from=amt&uid=WDCXWD1001FALS-00E8B0_WD-WMATV691987319873) Хорошо: (http://www.google.com) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes|DefaultScope (PUP.Optional.Qone8) -> Плохо: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}) Хорошо: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}) -> Действие не было предпринято.
    HKLM\Software\Microsoft\Internet Explorer\Main|Default_Page_URL (PUP.Optional.Awesomehp.A) -> Плохо: (http://www.awesomehp.com/?type=hp&ts=1394667435&from=amt&uid=WDCXWD1001FALS-00E8B0_WD-WMATV691987319873) Хорошо: (http://www.google.com) -> Действие не было предпринято.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  8. #6
    Junior Member Репутация
    Регистрация
    22.03.2014
    Сообщений
    11
    Вес репутации
    10
    Дождался окончания сканирования и удалил все. Видимо при открытии браузера оно опять себя в реестр прописывает. Вы думаете эти баннеры как то связаны с моим вирусом?

    Просканировал быстрым после перезагрузки, реестр чист - но в мозиле все равно есть всплывающий баннер.
    Вложения Вложения
    Последний раз редактировалось asus04; 28.03.2014 в 00:52.

  9. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,244
    Вес репутации
    1022
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.


    Подробнее читайте в этом руководстве.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  10. #8
    Junior Member Репутация
    Регистрация
    22.03.2014
    Сообщений
    11
    Вес репутации
    10
    У меня никак не грузится самый посещаемый мною форум dnbarena.ru (на работе заходит спокойно)
    Внизу (строка состояния вроде называется) появляется superfish.com затем baninj.com и пишет, что соединение нельзя установить. В разных браузерах пробовал - бесполезно. То, что меня там забанили по ip маловероятно т.к. я редко пишу там, только читаю. Да и немодерируется он почти.
    Файл hosts чистый (закоменчен).
    Вложения Вложения

  11. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,244
    Вес репутации
    1022
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
    • По окончанию сканирования снимите галочки со следующих строк:
      Код:
      Folder Found C:\Program Files (x86)\Mail.Ru
      Folder Found C:\Users\sham\AppData\Local\Mail.Ru
    • Нажмите кнопку "Clean" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению

    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  12. #10
    Junior Member Репутация
    Регистрация
    22.03.2014
    Сообщений
    11
    Вес репутации
    10
    Сделал
    Вложения Вложения

  13. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,244
    Вес репутации
    1022
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  14. #12
    Junior Member Репутация
    Регистрация
    22.03.2014
    Сообщений
    11
    Вес репутации
    10
    Сделал
    Вложения Вложения

  15. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,244
    Вес репутации
    1022
    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

    Код:
    begin
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','command');
    RebootWindows(false);
    end.
    Внимание! Будет выполнена перезагрузка компьютера.

    Сделайте новые логи AVZ
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  16. #14
    Junior Member Репутация
    Регистрация
    22.03.2014
    Сообщений
    11
    Вес репутации
    10
    Сделал
    Вложения Вложения

  17. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,244
    Вес репутации
    1022
    1. Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
    2. Запустите OTM by OldTimer (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора)
    3. временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
      Код:
      :Processes
      explorer.exe
      
      :Services
      
      :Files
      
      :Reg
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD]
      
      :Commands
      [purity]
      [start explorer]
      [Reboot]
    4. В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".
    5. Компьютер перезагрузится.
    6. После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  18. #16
    Junior Member Репутация
    Регистрация
    22.03.2014
    Сообщений
    11
    Вес репутации
    10
    ========== PROCESSES ==========
    No active process named explorer.exe was found!
    ========== SERVICES/DRIVERS ==========
    ========== FILES ==========
    ========== REGISTRY ==========
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD\ not found.
    ========== COMMANDS ==========

    OTM by OldTimer - Version 3.1.21.0 log created on 04022014_214211

    При перезагрузке появилось окошко командной строки, что то выполнилось и оно закрылось.
    В msconfig есть запись "с:\ProgramData\Microsoft\Windows\Startmenu\Progra ms\Startup\API.exe" (Производитель "неизвестный").
    Я перешел в папку по этой директории - там лежит фаил desktop.ini со следующим содержанием:

    [.ShellClassInfo]
    LocalizedResourceName=@%SystemRoot%\system32\shell 32.dll,-21787

    Также появились на рабочем столе тоже 2 файла desktop.ini:

    1)

    [.ShellClassInfo]
    LocalizedResourceName=@%SystemRoot%\system32\shell 32.dll,-21799

    2)

    [.ShellClassInfo]
    LocalizedResourceName=@%SystemRoot%\system32\shell 32.dll,-21769
    IconResource=%SystemRoot%\system32\imageres.dll,-183

    Все файлы "скрытые".
    Последний раз редактировалось asus04; 02.04.2014 в 22:06.

  19. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,244
    Вес репутации
    1022
    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

    Код:
    begin
    BackupRegKey('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg','111');
    end.
    В папке AVZ найдите папку Backup и прикрепите файл 111.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  20. #18
    Junior Member Репутация
    Регистрация
    22.03.2014
    Сообщений
    11
    Вес репутации
    10
    В папку backup только этот файл
    Вложения Вложения

  21. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,244
    Вес репутации
    1022

    Запустите, выберите проверку файлов за последние три месяца и нажмите "Продолжить". Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
    Подробнее читайте в руководстве
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  22. #20
    Junior Member Репутация
    Регистрация
    22.03.2014
    Сообщений
    11
    Вес репутации
    10
    Сделал
    Вложения Вложения
    • Тип файла: txt info.txt (49.2 Кб, 0 просмотров)
    • Тип файла: txt log.txt (55.0 Кб, 1 просмотров)

Присоединяйтесь к нам в соцсетях!

Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

Страница 1 из 2 12 Последняя

Похожие темы

  1. Вирус Filecoder.AM зашифровал файлы
    От Fernando в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 19.12.2013, 13:58
  2. Eset сообщает новые подробности о трояне-вымогателе FileCoder
    От CyberWriter в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 03.10.2013, 15:50
  3. Eset предупреждает о трехкратном всплеске активности вымогателя FileCoder
    От CyberWriter в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 25.09.2013, 14:20
  4. ESET представляет новую версию решения ESET NOD32 Mail Security
    От CyberWriter в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 09.07.2012, 14:20
  5. Ответов: 0
    Последнее сообщение: 05.05.2012, 15:00

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00398 seconds with 21 queries