-
Junior Member
- Вес репутации
- 37
Переименовались все файлы/документы
У сотрудницы на компьютере, после открытия вложения из почты, все документы и картинки стали формата <нормальное имя фаила>.<нормальное расширение>[email protected]_G9Im8M
Проверка антивирусом ничего не дала. Установлен Касперский 6.0, базы обновлены. Др.ВЕБ так же не помог
Выкладываю образцы
зашифрованных файлов
https://cloud.mail.ru/public/d0de2a6...1%86%D1%8B.zip
и сам скрипт
https://cloud.mail.ru/public/817cf87...1%83%D1%81.zip
пароль от архивов antivir
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Mord-Sit, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 37
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\system32\regedit.exe','');
QuarantineFile('C:\Users\secret.NORMARK\AppData\Roaming\oiclbsqzwofwvpeasvm3y1hcyaxatff2\csrss.exe','');
DeleteFile('C:\Users\secret.NORMARK\AppData\Roaming\oiclbsqzwofwvpeasvm3y1hcyaxatff2\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hmzzaipstth1wzyejnkquaxghswaahr','command');
DeleteFile('C:\Windows\system32\regedit.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('D:\autorun.inf','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 37
Последний раз редактировалось Mord-Sit; 14.05.2014 в 09:27.
-
Папку C:\Users\secret.NORMARK\AppData\Roaming\oiclbsqzwo fwvpeasvm3y1hcyaxatff2 удалите
Больше помочь нечем
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-