Добрый день.
Машина старая ХР без антивируса. Открыли сомнительное письмо.
файлы изменили имя на "Исх 267 ИФНС п.з..doc.id-{WCHMRWBFLPUZEINRWBGKPUZEJNSXBGKPTYCH-31.10.2014 10@03@067017669}[email protected]"
CureIT нашел Trojan.encoder.567 и Trojan.Inject1.45231
Ссылка на архив с зашифрованными файлами https://cloud.mail.ru/public/749f501c35db/out.zip
Логи утилит прилагаются.
Помогите, пожалуйста, расшифровать файлы.
Спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Kamisori, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('I:\WINDOWS\system32\XKYojBrNV_mMgZ.exe','');
DeleteFile('I:\WINDOWS\system32\XKYojBrNV_mMgZ.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WtKNqjdpdqHRTUmVbXQIOjixqp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
На сколько я понимаю, без тела шифровальщика, сделать что-то невозможно.
Прикладываю через Прислать запрошенный карантин тело вируса, скаченного по ссылке в письме.
Файл заархивирован вручную с паролем "virus". AVZ ничего не видит.
Исходная ссылка на сайт злоумышленника http : // ads.kalauz.hu / www / library / (надеюсь, никому из пользователей не придёт в голову заходить туда)
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: