Показано с 1 по 6 из 6.

Шифровальщик @qq.com (заявка № 159532)

  1. #1
    Junior Member Репутация
    Регистрация
    13.05.2014
    Сообщений
    3
    Вес репутации
    37

    Шифровальщик @qq.com

    Добрый день!

    Утром на сервере были зашифрованы файлы, к именам всех зашифрованных файлов было добавлено [email protected]_8Z2Ap3m.

    Во вложениях:
    files.zip - образец файла до и после шифрования.
    klwwaqlbet.zip - файлы созданные вирусом по пути c:\documents and settings\administrator\application data\klwwaqlbet\aledwjflvfrlekwjn
    (пароль на архив - virusinfo)

    Очень надеемся на вашу помощь.
    С уважением, Игнат
    Вложения Вложения
    Последний раз редактировалось thyrex; 13.05.2014 в 21:00.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Ignat.Tikhonov, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    TerminateProcessByName('c:\documents and settings\administrator\application data\klwwaqlbet\aledwjflvfrlekwjn.exe');
     QuarantineFile('c:\documents and settings\administrator\application data\klwwaqlbet\aledwjflvfrlekwjn.exe','');
     DeleteFile('c:\documents and settings\administrator\application data\klwwaqlbet\aledwjflvfrlekwjn.exe','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    end.
    Компьютер перезагрузите вручную.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    13.05.2014
    Сообщений
    3
    Вес репутации
    37
    Добрый день!

    Выполнил скрипт, в карантине пусто. Могу сам сделать архив с файлом вируса (virus.zip с паролем virus)

    Отчет скрипта:
    Запуск приложения net.exe stop tcpip /y
    Приложение принудительно завершено через 15000 мс
    >>>> Подозрение на маскировку файла процесса: C:\Documents and Settings\Ignat\WINDOWS\system32\smss.exe
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=0A8340)
    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 80800000
    SDT = 808A8340
    KiST = 80834D70 (296)
    Проверено функций: 296, перехвачено: 0, восстановлено: 0
    1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    >>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [F3A7C16D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
    >>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [F3A7BFC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
    Анализ для процессора 2
    >>> Опасно - подозрение на подмену адреса ЦП[2].IDT[06] = [F3A7C16D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
    >>> Опасно - подозрение на подмену адреса ЦП[2].IDT[0E] = [F3A7BFC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
    CmpCallCallBacks = 00000000
    Проверка IDT и SYSENTER завершена
    >>>> Обнаружена маскировка процесса 2472 ?
    1.4 Поиск маскировки процессов и драйверов
    Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    1.5 Проверка обработчиков IRP
    Драйвер успешно загружен
    Проверка завершена
    Файл успешно помещен в карантин (c:\documents and settings\administrator\application data\klwwaqlbet\aledwjflvfrlekwjn.exe)
    Ошибка [2, QUARANTINEFILE]
    Удаление файла: c:\documents and settings\administrator\application data\klwwaqlbet\aledwjflvfrlekwjn.exe
    Автоматическая чистка следов удаленных в ходе лечения программ
    Новые логи во вложении.
    Вложения Вложения
    Последний раз редактировалось Ignat.Tikhonov; 14.05.2014 в 12:48.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Папку c:\documents and settings\administrator\application data\klwwaqlbet удалите

    Без оригинального дешифратора не обойтись
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    13.05.2014
    Сообщений
    3
    Вес репутации
    37
    Про папку понятно, держу ее в изолированном месте. =)
    Завтра попробуем проплатить, о результатах отпишусь.

Похожие темы

  1. шифровальщик.
    От XPEHb XPEHOTEHb в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 24.02.2014, 11:59
  2. Шифровальщик
    От lupka в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 19.11.2013, 00:08
  3. Шифровальщик
    От Hunter BY в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 20.10.2012, 16:46
  4. Шифровальщик
    От Alphatuner в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 19.10.2012, 19:35
  5. Шифровальщик
    От Гудвин ВиУ в разделе Помогите!
    Ответов: 12
    Последнее сообщение: 11.02.2009, 21:00

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00021 seconds with 20 queries