-
Junior Member
- Вес репутации
- 54
Зашифрованы файлы. Расширение .CoDe
Здравствуйте!
Вижу, такая тема сегодня уже поднималась. Троян, определяемый AVG как FileCryptor.OP (правда только на следующий день, когда было поздно), был получен в письме с якобы копией постановления суда, и благополучно запущен, зашифровав значительное количество файлов.
Сам вирус есть в наличии. Ссылка на образцы зашифрованных файлов и _Admin_Файлы зашифрованы.txt здесь.
Буду признателен за помощь!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) rowman, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\DealPly\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Program Files\DealPly\DealPlyUpdate.exe','');
QuarantineFile('C:\WINDOWS\system32\eDStoolbar.dll','');
QuarantineFile('C:\opera.bat','');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\eTranslator\eTranslator.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\browser.bat','');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\browser.bat','32');
DeleteFile('C:\Documents and Settings\Admin\Application Data\eTranslator\eTranslator.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Update');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\opera.bat','32');
DeleteFile('C:\Program Files\DealPly\DealPlyUpdate.exe','32');
DeleteFile('C:\WINDOWS\Tasks\DealPlyUpdate.job','32');
DeleteFile('C:\WINDOWS\Tasks\At2.job','32');
DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\DealPly\UPDATE~1\UPDATE~1.EXE','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите в HiJack
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Сделайте такой лог
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Скажите пожалуйста, а премодерация только у меня?) Раньше вроде не было.
Хм! С другого IP-адреса всё нормально)
Логи MBAM в текстовом формате пустые. Нашёл автосохранённые в формате .xml. Карантин отправил. Сам троян из письма нужен?
Последний раз редактировалось rowman; 06.11.2014 в 23:05.
-
Пересоздайте ярлыки
C:\Documents and Settings\All Users\Главное меню\Программы\Яндекс\Элементы Яндекса\Страница Элементов Яндекса для Internet Explorer.lnk
C:\Documents and Settings\All Users\Главное меню\Программы\Яндекс\Яндекс.Бар\Онлайн помощь по Яндекс.Бару для Internet Explorer.lnk
C:\Documents and Settings\Admin\Главное меню\Программы\Google Chrome\Google Chrome.lnk
C:\Documents and Settings\Admin\Рабочий стол\Нужности\Google Chrome.lnk
C:\Documents and Settings\Admin\Главное меню\Программы\Стандартные\Служебные\Internet Explorer (без надстроек).lnk"
C:\Documents and Settings\Admin\Рабочий стол\Нужности\Opera.lnk
C:\Documents and Settings\Admin\Рабочий стол\Нужности\Yandex.lnk
Удалите вручную
C:\sllauncher.bat
C:\Acer.Empowering.Framework.Launcher.bat
C:\Program Files\ШоппингГид
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Хорошо, завтра сделаю. А папку D:\wintmp с вирусами удалять?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
C расшифровкой, как я понимаю, ничего не выйдет?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 21
- В ходе лечения вредоносные программы в карантинах не обнаружены
-