Показано с 1 по 16 из 16.

Зашифрованны файлы kuzya@qq_com [Trojan-Spy.Win32.VB.qft, ] (заявка № 160301)

  1. #1
    Junior Member Репутация
    Регистрация
    22.05.2012
    Сообщений
    16
    Вес репутации
    44

    Зашифрованны файлы kuzya@qq_com [Trojan-Spy.Win32.VB.qft, ]

    Добрый день! буквально сегодня ночью через rdp проникли и зашифровали файлы - базы 1с, doc, rar.
    Помогите пожалуйста!
    ссылки на некоторые зашифрованные файлы:
    rar: http://webfile.ru/e7be198f595d197762960577f045c0a5
    txt: http://webfile.ru/8a1c62cc6c8d36dfe410cc8c021a87cf
    doc:
    http://webfile.ru/614bc9a94f6109c3c45d10e2e8d56369
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) dayver, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
     ExecuteAVUpdate;
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     TerminateProcessByName('c:\windows\systеm32\svсhost.exe');
     QuarantineFileF('c:\windows\systеm32', '*', true, ' ', 0, 0);
     QuarantineFileF('c:\program files\ss', '*', true, ' ', 0, 0);     
     QuarantineFile('C:\WINDOWS\apppatch\svchost.exe','');
     QuarantineFile('c:\program files\ss\safesurf.exe','');
     QuarantineFile('c:\program files\ss\wasppacer.exe','');
     QuarantineFile('c:\windows\systеm32\svсhost.exe','');
     DeleteFile('C:\WINDOWS\Systеm32\svсhost.exe','32');
     DeleteFile('c:\program files\ss\wasppacer.exe','32');
     DeleteFile('c:\program files\ss\safesurf.exe','32');
     DeleteFile('C:\WINDOWS\apppatch\svchost.exe','32');               
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    end.
    Внимание! Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\Systеm32\svсhost.exe
    MSIE: Internet Explorer v6.00 SP2 (6.00.3790.3959)
    А сервер-то дырявый как решето. Установите обновления.

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код:
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. #4
    Junior Member Репутация
    Регистрация
    22.05.2012
    Сообщений
    16
    Вес репутации
    44

    дополнение

    файлы во вложении
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Я вроде давал ссылку на MBAM 1.75. Деинсталлируйте новую версию MBAM и сделайте лог версией 1.75
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  7. #6
    Junior Member Репутация
    Регистрация
    22.05.2012
    Сообщений
    16
    Вес репутации
    44

    дополнение

    прошу прощения, вот лог
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

    Код:
    begin
     QuarantineFile('C:\WINDOWS\svchost.exe','');
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Код:
    Обнаруженные ключи в реестре:  2
    HKLM\SYSTEM\CurrentControlSet\Services\Microsoft .NET Framework v4 (Trojan.Agent) -> Действие не было предпринято.
    HKLM\SOFTWARE\JetSwap (Adware.JetSwap) -> Действие не было предпринято.
    
    Обнаруженные файлы:  3
    c:\1\новая папка\iexplore\services\myac\1\window5\system321\safesurf.exe (Trojan.Downloader) -> Действие не было предпринято.
    c:\program files\ss\f\cg.exe (PUP.BitCoinMiner) -> Действие не было предпринято.
    C:\WINDOWS\svchost.exe (Trojan.Agent) -> Действие не было предпринято.
    1. Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите sitlog.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
    5. По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
    6. Прикрепите эти отчеты в вашей теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  9. #8
    Junior Member Репутация
    Регистрация
    22.05.2012
    Сообщений
    16
    Вес репутации
    44

    продолжение

    авз выдает такую гадость при запуске скрипта и создает пустой файл с карантином
    ------------------
    Ошибка [2, QUARANTINEFILE]
    Создание архива с файлами из карантина
    Создание архива с файлами из карантина завершено
    ------------------
    логи sitlog прилагаю
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Код:
    21.03.2014 05:07:25 ----A---- C:\WINDOWS\System32\zul.exe
    21.03.2014 05:07:25 ----A---- C:\WINDOWS\System32\fspstart.dll
    21.03.2014 05:07:25 ----A---- C:\WINDOWS\System32\fspflt.dll
    21.03.2014 05:04:57 ----A---- C:\WINDOWS\System32\drivers\FSPFltd.sys
    21.03.2014 05:04:51 ----A---- C:\WINDOWS\svchost.exe
    21.03.2014 05:04:51 ----A---- C:\WINDOWS\System32\instsrv.exe
    21.03.2014 04:55:16 ----D---- C:\WINDOWS\System32\drivers\h
    Пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  11. Это понравилось:


  12. #10
    Junior Member Репутация
    Регистрация
    22.05.2012
    Сообщений
    16
    Вес репутации
    44
    запрошенные файлы прилагаю, но не все, авз опять выдает сообщение о том, что не все может закарантинить
    Ошибка [2, QUARANTINEFILE]
    Карантин с использованием прямого чтения - ошибка

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Запакуйте тогда оставшиеся файлы вручную в zip архив с паролем virus и пришлите по красной ссылке.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  14. #12
    Junior Member Репутация
    Регистрация
    22.05.2012
    Сообщений
    16
    Вес репутации
    44
    сделал, приложил, все получилось

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    21.03.2014 05:04:51 ----A---- C:\WINDOWS\svchost.exe
    Это от активатора какого-то. Возможно от офиса.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

    Код:
    begin
     ExecuteAVUpdate;
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\Tasks\At1.job','');
     DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
     DeleteFileMask('C:\WINDOWS\System32\drivers\h', '*', true, ' ');
     DeleteDirectory('C:\WINDOWS\System32\drivers\h');    
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    end.
    После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Перезагрузите сервер вручную.

    Сделайте новые логи Sitlog.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  16. #14
    Junior Member Репутация
    Регистрация
    22.05.2012
    Сообщений
    16
    Вес репутации
    44

    добавление

    ситлог сделал, прилагаю. карантин отправил красной кнопкой
    Вложения Вложения

  17. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Папку эту C:\Program Files\ss удалите в остальном логи в порядке. Сам шифратор к сожалению не удалось найти.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  18. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 22
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\apppatch\svchost.exe - Trojan-Spy.Win32.VB.qft

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) dayver, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 18
      Последнее сообщение: 20.01.2015, 12:55
    2. Зашифрованны файлы dyatel@qq_com
      От zharich в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 25.05.2014, 06:42
    3. Ответов: 23
      Последнее сообщение: 24.05.2014, 01:52
    4. Зашифрованны файлы
      От Alexandr_1977 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.12.2013, 10:57
    5. зашифрованны файлы
      От deph в разделе Вредоносные программы
      Ответов: 0
      Последнее сообщение: 11.10.2012, 07:00

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00822 seconds with 18 queries