Показано с 1 по 19 из 19.

Помогите пожалуйста! Вирус зашифровал файлы и дал им расширение .ctbl [Trojan-Dropper.Win32.Dorifel.alky, HEUR:Trojan.Win32.Generic ] (заявка № 162705)

  1. #1
    Junior Member Репутация
    Регистрация
    29.04.2008
    Сообщений
    12
    Вес репутации
    59

    Помогите пожалуйста! Вирус зашифровал файлы и дал им расширение .ctbl [Trojan-Dropper.Win32.Dorifel.alky, HEUR:Trojan.Win32.Generic ]

    Помогите пожалуйста!
    Компьютер бухгалтера поймал вирус, который зашифровал файлы и дал им расширение .ctbl
    На компьютере стоял антивирус НОД, обновлялся регулярно.
    Где поцепили вирус - не признаются!

    Система - Виндоус ХР 32х
    Офис 2003
    Антивирус был - нод.

    После того как поймали вирус нод стал нервно биться в конвульсиях в уголке, постоянно находит вирусы и пытается их удалить. Пишет что какие то черви. Точно не запомнил, запомнил что находил какой то вирус в оперативной памяти.

    По незнанию сначала запустили авз просканировал, вроде ничего не нашёл.
    Перезагрузили, всё то же. НОД всё так же отчаянно отбивался от вирусов, после нескольких перезагрузок, расширения к файлам вроде вернулись, но при открытии их вёрд выдаёт что какой то дешифратор не найден и открывает файлы в сплошных непонятных символах.

    Снесли нод.

    Выполнили действия для раздела помогите, результаты выкладываю.

    Помимо этого, выкладываю пострадавшие зашифрованные файлы, две экселевских таблицы и два доковских, вёрдовских файла:
    Ссылка для скачивания файла:
    h--p://www.fayloobmennik.net/3930079
    h--p://www.fayloobmennik.net/3930082
    h--p://www.fayloobmennik.net/3930084
    h--p://www.fayloobmennik.net/3930085

    Очень нужно быстрее расшифровать файлы на компьютере! А то у бухгалтера не останется ни волос на теле, ни кто его знает как дальше начнёт себя изувечивать...

    Заранее благодарен!
    Вложения Вложения
    Последний раз редактировалось thyrex; 08.07.2014 в 16:12.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) booshido, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true); 
     TerminateProcessByName('c:\windows\temp\rjtoyuf.exe');
     TerminateProcessByName('c:\documents and settings\Юля\init.exe');
     TerminateProcessByName('c:\docume~1\d18e~1\locals~1\temp\04a77a8e.exe');
     TerminateProcessByName('c:\docume~1\d18e~1\locals~1\temp\000d7ef4.exe');
     QuarantineFile('C:\WINDOWS\system32\SSVICHOSST.exe','');
     QuarantineFile('C:\WINDOWS\driver.exe','');
     QuarantineFile('C:\Documents and Settings\Юля\nwdkpaef.exe','');
     QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msaqqv.scr','');
     QuarantineFile('c:\windows\temp\rjtoyuf.exe','');
     QuarantineFile('c:\documents and settings\Юля\init.exe','');
     QuarantineFile('c:\docume~1\d18e~1\locals~1\temp\04a77a8e.exe','');
     QuarantineFile('c:\docume~1\d18e~1\locals~1\temp\000d7ef4.exe','');
     DeleteFile('c:\docume~1\d18e~1\locals~1\temp\000d7ef4.exe','32');
     DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msaqqv.scr','32');
     DeleteFile('C:\DOCUME~1\D18E~1\LOCALS~1\Temp\04a77a8e.exe','32');
     DeleteFile('C:\Documents and Settings\Юля\init.exe','32');
     DeleteFile('C:\Documents and Settings\Юля\nwdkpaef.exe','32');
     DeleteFile('C:\WINDOWS\system32\SSVICHOSST.exe','32');
     DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
     DeleteFile('C:\WINDOWS\TEMP\rjtoyuf.exe','32');
     DeleteFile('C:\WINDOWS\Tasks\bjjpvdh.job','32');
     DeleteFile('C:\WINDOWS\Tasks\System Components Update.job','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','17920');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','System Security');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','System Security');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Security');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','System Security');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Security');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','System Security');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Security');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SessionInit');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
    BC_ImportAll;
    ExecuteSysClean;
     ExecuteWizard('SCU',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.


    + Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена. А с 8 апреля 2014 года прекращена и поддержка Windows XP SP3

    Установите SP3 (может потребоваться активация) + все новые обновления для Windows

    Установите Internet Explorer 8 (даже если им не пользуетесь)


    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

  5. #4
    Junior Member Репутация
    Регистрация
    29.04.2008
    Сообщений
    12
    Вес репутации
    59
    Огромное спасибо за то что Вы так быстро откликнулись! Завтра с утра буду пробовать, надеюсь завтра Вас застать в он лайне и в течении дня совместно победить эту нечесть!

    У меня к Вам ещё такой вопрос:
    1 Касперский 2014 в последних обновлениях они добавили "стену" которая остановит этот вирус ( вроде пишут он самый самый новый...) и добавили ли средство для своевременного обнаружения и нейтрализации этого вируса?

    2 такой ещё вопрос - когда то славная замечательная утилита - AVZ - в инструкции прочитал что с х64 вообще не дружет и для них она бесполезна, Win 8, 8.1 - не поддерживает... А в нынешнее время, когда минимальный объём памяти на продаваемых современных компьютерах - 4 Гигабайта, и когда у почти всех стоит если не 8-ка то 7-ка. То получается что авз превратилась просто в хороший чистильщик... Ну по крайней мере единственная её функция которая работает. От вирусов не лечит...
    Вообще ка то планируется в авз поддержка современных компьютеров и операционных систем? Или на авз можно ставить крест как на антивирусной утилите?

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от booshido Посмотреть сообщение
    То получается что авз превратилась просто в хороший чистильщик... Ну по крайней мере единственная её функция которая работает. От вирусов не лечит...
    кто вам сказал, что не работает? Можете посмотреть соседние темы, отлично справляется и на 7-ке и на 8-ке.
    На x64 не работают только некоторые подсистемы, которые не являются основными.

    Цитата Сообщение от booshido Посмотреть сообщение
    У меня к Вам ещё такой вопрос:
    1 Касперский 2014 в последних обновлениях они добавили "стену" которая остановит этот вирус ( вроде пишут он самый самый новый...) и добавили ли средство для своевременного обнаружения и нейтрализации этого вируса?
    в касперском есть проактивная защита, которая даже без сигнатурного детекта (до того как он появится) способна заблокировать вирус определив его по подозрительному поведению. Правда 100% гарантии вам ни один вендор не даст.


    ps. по расшифровке без оригинального дешифратора не обойтись, но хоть вашу систему от вирусов вычистим.

  7. #6
    Junior Member Репутация
    Регистрация
    29.04.2008
    Сообщений
    12
    Вес репутации
    59
    А вообще какова у нас вероятность спасти файлы? По тому что систему не жалко, а вот все бухгалтерские файлы и отчёты! Это просто капец как критично!

    И такой ещё вопрос, заражённый компьютер я от сети отключил, стрёмно! Делаю всё через флешку за которую тоже очень стрёмно. Не размножится ли этот вирус с заражённого компьютера в локальную сеть при подключении и на пустит ли он корни на флешку?!

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Где поцепили вирус - не признаются!
    Варианты:

    1. Почтовое вложение из письма.

    2. Удаленно зашли через RDP. Актуально для серверных систем.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  9. Это понравилось:


  10. #8
    Junior Member Репутация
    Регистрация
    29.04.2008
    Сообщений
    12
    Вес репутации
    59
    Проделал Вашу инструкцию в строгом порядке:
    выполнил скрипт,
    перезагрузил,
    выполнил второй код,
    установил все обновления,
    перезагрузил,
    сделал повторные логи.

    Выкладываю

    Файл сохранён как 140708_103303_quarantine_53bbc8dfb3fc7.zip
    Размер файла 1650254
    MD5 26aa8639ff458742c321a4e2d347ab35

    П.С. Для меня самое главное спасти, разблокировать файлы, остальное уже не так важно!
    Вложения Вложения

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true); 
     QuarantineFile('C:\DOCUME~1\D18E~1\LOCALS~1\Temp\04a77a8e.exe','');
     QuarantineFile('C:\WINDOWS\system32\SSVICHOSST.exe','');
     QuarantineFile('C:\WINDOWS\driver.exe','');
     QuarantineFile('C:\WINDOWS\Temp\WOURecall\RecallStub.cmd','');
     QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msaqqv.scr','');
     DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msaqqv.scr','32');
     DeleteFile('C:\WINDOWS\Temp\WOURecall\RecallStub.cmd','32');
     DeleteFile('C:\WINDOWS\driver.exe','32');
     DeleteFile('C:\WINDOWS\system32\SSVICHOSST.exe','32');
     DeleteFile('C:\WINDOWS\Tasks\At2.job','32');
     DeleteFile('C:\DOCUME~1\D18E~1\LOCALS~1\Temp\04a77a8e.exe','32');
     DeleteFile('C:\WINDOWS\Tasks\System Security.job','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','17920');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WSUSOfflineUpdate');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Driver');
    BC_ImportALL;
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    SetAVZPMStatus(false);
    RebootWindows(false);
    end.
    снова перезагрузится
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    Самостоятельно настройки AVZ не меняйте!

  12. #10
    Junior Member Репутация
    Регистрация
    29.04.2008
    Сообщений
    12
    Вес репутации
    59
    Проделал Вашу инструкцию
    отчитываюсь:

    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    перешёл на страницу загрузки, выбрал файл, нажал загрузить, выдало сообщение:
    "Результат загрузки Ошибка загрузки. Данный файл уже был загружен"
    Вложения Вложения

  13. #11

  14. #12
    Junior Member Репутация
    Регистрация
    29.04.2008
    Сообщений
    12
    Вес репутации
    59
    Скачал именно по Вашей ссылке,
    Всё сделал по инструкции
    Вложения Вложения

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Выполните скрипт в uVS

    Код:
    ;uVS v3.83 BETA 1 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    BREG
    delall %SystemDrive%\DOCUME~1\ALLUSE~1\LOCALS~1\TEMP\MSAQQV.SCR
    restart
    сделайте новый лог hijackthis.log

  16. #14
    Junior Member Репутация
    Регистрация
    29.04.2008
    Сообщений
    12
    Вес репутации
    59
    Сделанно!
    Лог hijackthis.log
    Вложения Вложения

  17. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    больше пока помочь нечем.

    Для устранения вероятности заражений

    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

  18. #16
    Junior Member Репутация
    Регистрация
    29.04.2008
    Сообщений
    12
    Вес репутации
    59
    Так а что мы сделали? А то я во всех этих манипуляциях ничего не понял...
    ?!
    Файлы так по прежнему и не открываются (((
    Их спасти уже никак?!!

    Нашёл на диске С такую картинку:
    AllFilesAreLocked.png

    - - - Добавлено - - -

    И ещё такой вопрос - может форматнуть жёсткий диск и потом какой то программой для восстановления файлов попытаться востановить вёрдовские и экселевские таблицы?
    Может таким способом можно будет всосстановить файлы?!

  19. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от booshido Посмотреть сообщение
    ак а что мы сделали? А то я во всех этих манипуляциях ничего не понял...
    удалили вирусы которые у вас были.

    Цитата Сообщение от booshido Посмотреть сообщение
    И ещё такой вопрос - может форматнуть жёсткий диск и потом какой то программой для восстановления файлов попытаться востановить вёрдовские и экселевские таблицы?
    врядли что-то восстановите и для этого уж точно не надо форматировать диск.

  20. #18
    Junior Member Репутация
    Регистрация
    29.04.2008
    Сообщений
    12
    Вес репутации
    59
    А что с самими файлами? Их можно восстановить?
    Может сделать что написано на картинке?
    Может картинка сайт, как то помогут сделать дешифровальшик? Может его как то ещё можно восстановить или заново скачать?

    Неужели нельзя ничего сделать с зашифрованными файлами?!

  21. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 22
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\юля\init.exe - Trojan-Dropper.Win32.Dorifel.aiuw ( DrWEB: Trojan.Spambot.9653, BitDefender: Gen:Variant.Kazy.140362, AVAST4: Win32:Rootkit-gen [Rtk] )
      2. c:\documents and settings\юля\nwdkpaef.exe - Trojan-Dropper.Win32.Dorifel.alky ( DrWEB: Trojan.Spambot.12642, AVAST4: Win32:VB-AIKZ [Trj] )
      3. c:\docume~1\alluse~1\locals~1\temp\msaqqv.scr - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Andromeda.22, BitDefender: Gen:Variant.Symmi.24794, AVAST4: Win32:Malware-gen )
      4. c:\docume~1\d18e~1\locals~1\temp\000d7ef4.exe - Trojan.Win32.Inject.nxnb ( BitDefender: Trojan.GenericKD.1739178, AVAST4: Win32:Malware-gen )
      5. c:\docume~1\d18e~1\locals~1\temp\04a77a8e.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Zusy.97433, AVAST4: Win32:Dropper-gen [Drp] )
      6. c:\windows\temp\rjtoyuf.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Graftor.145888, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) booshido, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Файлы получили расширение .ctbl
      От Velheor в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 24.07.2014, 22:07
    2. Ответов: 9
      Последнее сообщение: 07.07.2014, 22:43
    3. Ответов: 19
      Последнее сообщение: 30.03.2012, 08:10
    4. Ответов: 3
      Последнее сообщение: 23.03.2012, 15:26

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00914 seconds with 20 queries