Показано с 1 по 7 из 7.

расшифровка [email protected] [not-a-virus:RiskTool.Win32.BitCoinMiner.lik, not-a-virus:RemoteAdmin.Win32.Ammyy.fi ] (заявка № 170242)

  1. #1
    Junior Member Репутация
    Регистрация
    03.04.2014
    Сообщений
    13
    Вес репутации
    37

    расшифровка [email protected] [not-a-virus:RiskTool.Win32.BitCoinMiner.lik, not-a-virus:RemoteAdmin.Win32.Ammyy.fi ]

    Добрый день,
    схватили шифровальщика, что тот даже базы 1С зашифровал.
    Заражение прошло: пришло письмо от "Управление организации исполнительного производства". Внутри была ссылка. Соответственно скачался, поставился и успешно все зашифровал. Kaspersky успешно его пропустил и ничего не сделал.
    Прикрепляю вложения.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) DimmKo, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\1\appdata\roaming\flash\cgminer-nogpu.exe','');
     QuarantineFile('C:\Users\1\appdata\roaming\flash\cgminer.exe','');
     QuarantineFile('C:\Users\1\AppData\Local\Temp\8514509.exe','');
     QuarantineFile('C:\Windows\system32\machineupper32.exe','');
     QuarantineFile('C:\Program Files\youfiles\svchost.exe','');
     QuarantineFile('C:\Program Files (x86)\Intel\Intel.exe','');
     QuarantineFile('C:\PROGRA~2\zekove64.exe','');
     QuarantineFile('C:\PROGRA~2\xowoto.exe','');
     QuarantineFile('C:\PROGRA~2\wobepe32.exe','');
     QuarantineFile('C:\PROGRA~2\susivi32.exe','');
     QuarantineFile('C:\PROGRA~2\sedidoh.exe','');
     QuarantineFile('C:\PROGRA~2\resyw.exe','');
     QuarantineFile('C:\PROGRA~2\qyhod.exe','');
     QuarantineFile('C:\PROGRA~2\qiset.exe','');
     QuarantineFile('C:\PROGRA~2\nutiqe64.exe','');
     QuarantineFile('C:\PROGRA~2\fytex.exe','');
     QuarantineFile('C:\PROGRA~2\dexenol.exe','');
     QuarantineFile('C:\PROGRA~2\dedolu.exe','');
     QuarantineFile('C:\PROGRA~2\burytu32.exe','');
     QuarantineFile('C:\PROGRA~2\WUNOQE~1.EXE','');
     QuarantineFile('C:\PROGRA~2\WOLOKO~1.EXE','');
     QuarantineFile('C:\PROGRA~2\WODYME~1.EXE','');
     QuarantineFile('C:\PROGRA~2\WECUGU~1.EXE','');
     QuarantineFile('C:\PROGRA~2\SUCYSY~1.EXE','');
     QuarantineFile('C:\PROGRA~2\LOHIFE~1.EXE','');
     QuarantineFile('C:\PROGRA~2\JOFILU~1.EXE','');
     SetServiceStart('{55685567-4840-4a91-962b-49a412e9485a}Gw', 4);
     DeleteService('{55685567-4840-4a91-962b-49a412e9485a}Gw');
     QuarantineFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w.sys','');
     QuarantineFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw.sys','');
     DeleteFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w.sys','32');
     DeleteFile('C:\PROGRA~2\JOFILU~1.EXE','32');
     DeleteFile('C:\PROGRA~2\LOHIFE~1.EXE','32');
     DeleteFile('C:\PROGRA~2\SUCYSY~1.EXE','32');
     DeleteFile('C:\PROGRA~2\WECUGU~1.EXE','32');
     DeleteFile('C:\PROGRA~2\WODYME~1.EXE','32');
     DeleteFile('C:\PROGRA~2\WOLOKO~1.EXE','32');
     DeleteFile('C:\PROGRA~2\WUNOQE~1.EXE','32');
     DeleteFile('C:\PROGRA~2\burytu32.exe','32');
     DeleteFile('C:\PROGRA~2\dedolu.exe','32');
     DeleteFile('C:\PROGRA~2\dexenol.exe','32');
     DeleteFile('C:\PROGRA~2\fytex.exe','32');
     DeleteFile('C:\PROGRA~2\nutiqe64.exe','32');
     DeleteFile('C:\PROGRA~2\qiset.exe','32');
     DeleteFile('C:\PROGRA~2\qyhod.exe','32');
     DeleteFile('C:\PROGRA~2\resyw.exe','32');
     DeleteFile('C:\PROGRA~2\sedidoh.exe','32');
     DeleteFile('C:\PROGRA~2\susivi32.exe','32');
     DeleteFile('C:\PROGRA~2\wobepe32.exe','32');
     DeleteFile('C:\PROGRA~2\xowoto.exe','32');
     DeleteFile('C:\PROGRA~2\zekove64.exe','32');
     DeleteFile('C:\Program Files\youfiles\svchost.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','progrmma');
     DeleteFile('C:\Windows\system32\machineupper32.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32');
     DeleteFile('C:\Windows\Tasks\At1.job','32');
     DeleteFile('C:\Users\1\AppData\Local\Temp\6992328','32');
     DeleteFile('C:\Users\1\AppData\Local\Temp\8514509.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\At1','32');
     DeleteFile('C:\Users\1\appdata\roaming\flash\cgminer.exe','32');
     DeleteFile('C:\Users\1\appdata\roaming\flash\cgminer-nogpu.exe','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Сделайте логи RSIT
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    03.04.2014
    Сообщений
    13
    Вес репутации
    37
    Добрый день, спасибо за ответ.
    Прикрепляю новые логи. Карантин через шапку.
    Спасибо.
    Вложения Вложения
    • Тип файла: txt MBAM.txt (49 байт, 0 просмотров)
    • Тип файла: txt log.txt (38.5 Кб, 1 просмотров)
    • Тип файла: txt info.txt (29.6 Кб, 0 просмотров)

  7. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Папку C:\Program Files\youfiles удалите

    С расшифровкой не поможем
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    03.04.2014
    Сообщений
    13
    Вес репутации
    37
    thyrex, большое спасибо за помощь.
    Жаль, но что делать, впредь будут внимательнее.
    Еще раз спасибо.
    Удачи в ваших делах!

  10. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 61
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\1\appdata\roaming\flash\cgminer.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.ggn ( DrWEB: Tool.BtcMine.231, BitDefender: Trojan.BitCoinMiner.V )
      2. c:\users\1\appdata\roaming\flash\cgminer-nogpu.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.lik
      3. c:\users\1\downloads\aa_v3.exe - not-a-virus:RemoteAdmin.Win32.Ammyy.fi ( DrWEB: Program.RemoteAdmin.701 )


  • Уважаемый(ая) DimmKo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Зашифровались файлы [email protected]
      От arman1231 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 02.11.2014, 18:14
    2. Вирус шифратор [email protected]
      От Andreypopov2014 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 19.08.2014, 14:29
    3. Вирус [email protected]
      От Михаил Воронский в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 07.08.2014, 00:56
    4. Вирус шифратор [email protected]
      От Сергей Пивоваров в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 07.08.2014, 00:55
    5. Блокировщик [email protected]
      От Сергей Пивоваров в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.08.2014, 19:06

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01269 seconds with 18 queries