-
Junior Member
- Вес репутации
- 34
Зашифрованы документы, добавлено расширение .usbtxeb [Trojan.Win32.Agent.acolm
]
Windows Server 2003 r2, терминальный сервер, баннера никакого найти не удалось, но файлы пошифрованы. Насколько высока вероятность, что это CTB-Locker, и файлы расшифровать уже не удастся?
UPD: похоже, это всё-таки CTB-locker. Скажите, а известны вообще случаи дешифровки зашифрованных файлов, хотя бы и с помощью злоумышленников за оплату?
Последний раз редактировалось angar18; 20.01.2015 в 17:20.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) angar18, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Версия Windows: 5.2.3790, Service Pack 2 "Microsoft Windows Server 2003 R2" ; AVZ работает с правами администратора,AVZ запущен из терминальной сессии (RDP-Tcp#11)
Сделайте логи не через терминальную сессию.
-
-
Junior Member
- Вес репутации
- 34
-
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\WINDOWS\system32\machineupper32.exe','');
QuarantineFile('c:\program files\sigma-soft\magistr\users\newuser\bin\exp32.exe','');
DeleteFile('C:\WINDOWS\system32\machineupper32.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Компьютер перезагрузите вручную. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Код:
O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
- Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
-
-
Junior Member
- Вес репутации
- 34
Готово (вроде нигде не ошибся). Только в карантине avz к сожалению отсутствует machineupper32.exe - в процессе пертурбаций он поменял своё местоположение, но я могу его отдельно прислать, если нужно.
-
- Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:
;uVS v3.85 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v385c
breg
delref HTTP://WEBALTA.RU/POISK
delall %SystemDrive%\DOCUMENTS AND SETTINGS\A.POSPELOV\APPLICATION DATA\UKOMZFQQSPNRVRNB.EXE
addsgn A7679BF0AA023C834BD4C6092B881261848AFCF689AA7BF1A0C3C5BC5055B5E8704194DE5BBD625C7B70C49FE57658B87D7E886317DA71C425525B2FC706811F 8 Trojan.Win32.Agent.acolm [kaspersky]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\A.POSPELOV\APPLICATION DATA\MICROSOFT\XCOPY.EXE
bl E6D741E42B80443FD8150EF5B5A525BD 393216
delall %SystemDrive%\DOCUMENTS AND SETTINGS\A.POSPELOV\APPLICATION DATA\MICROSOFT\XCOPY.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\A.POSPELOV\МОИ ДОКУМЕНТЫ\INVOICE_889294.PDF.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\A.POSPELOV\МОИ ДОКУМЕНТЫ\INVOICE_889294.PDF.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\SENCHENKO\0.3983129709650397.EXE
delall %SystemDrive%\DOCUME~1\A8231~1.POS\LOCALS~1\TEMP\3\VTTIOYQWFGSGTVQ.EXE
delall %SystemDrive%\DOCUME~1\M634A~1.ZAR\LOCALS~1\TEMP\12\1BOVTENSDF.EXE
delall %SystemDrive%\PROGRAM FILES\DEALPLY\UNINST.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\A.POSPELOV\APPLICATION DATA\SKYPE\POSPELOV.65\CHATSYNC\8C\GETMAC.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\A.POSPELOV\APPLICATION DATA\SKYPE\POSPELOV.65\CHATSYNC\64\OOBECHK.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\A.POSPELOV\APPLICATION DATA\SKYPE\POSPELOV.65\CHATSYNC\11\MEM.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\A.POSPELOV\APPLICATION DATA\SKYPE\POSPELOV.65\CHATSYNC\35\MMC.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\A.POSPELOV\APPLICATION DATA\SKYPE\POSPELOV.65\CHATSYNC\9E\CPROFILE.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\A.POSPELOV\APPLICATION DATA\MICROSOFT\CRYPTNETURLCACHE\NETDDE.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\A.POSPELOV\APPLICATION DATA\COM.ADOBE.FORMSCENTRAL.FORMSCENTRALFORACROBAT\LOCAL STORE\LIB\WORDLISTS\R2REPAIR.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\A.POSPELOV\APPLICATION DATA\SKYPE\POSPELOV.65\CHATSYNC\E6\DVDPLAY.EXE
chklst
delvir
czoo
- В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
- Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.
- После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый лог uVS.
-
-
Junior Member
- Вес репутации
- 34
Архив ZOO отправил, а вот лог не могу приложить - не хватает места в аттачментах, а старые как удалить - не могу понять. И редактировать сообщения с вложениями тоже не даёт почему-то, хотя вчера вроде мог редактировать.
-
Удалите старые вложения через Мой кабинет => Вложения
-
-
Junior Member
- Вес репутации
- 34
-
C:\DOCUMENTS AND SETTINGS\VOROBYEVA\РАБОЧИЙ СТОЛ\ПЗДРАВЛЯЛКИ\ПОЗДРАВЛЕНИЕ С 8 МАРТА.EXE
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 34
Отправил.
Подскажите, пожалуйста, в этой сети, где был вирус, у меня ещё один компьютер - хотел бы на всякий случай и его проверить. Мне логи можно в эту же тему прислать или лучше новую создать?
-
Мне логи можно в эту же тему прислать или лучше новую создать?
Создайте новую тему.
-
-
Junior Member
- Вес репутации
- 34
А с текущей ситуацией с этим компьютером - всё нормально? Всё вроде почистили?
-
Сообщение от
angar18
А с текущей ситуацией с этим компьютером - всё нормально? Всё вроде почистили?
Да, здесь логи в порядке. С расшифровкой правда помочь не сможем.
-
-
Junior Member
- Вес репутации
- 34
Это не страшно, с расшифровкой я уже разобрался. Спасибо!
-
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Советы и рекомендации после лечения компьютера
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- \cprofile.exe._d9918c592e5b84a00d204d1e85dbfae2734 0dc3a - Trojan.Win32.Agent.acolm ( BitDefender: Trojan.GenericKDV.1367635, AVAST4: Win32:Caphaw-AJ [Trj] )
- \dvdplay.exe._d9918c592e5b84a00d204d1e85dbfae27340 dc3a - Trojan.Win32.Agent.acolm ( BitDefender: Trojan.GenericKDV.1367635, AVAST4: Win32:Caphaw-AJ [Trj] )
- \getmac.exe._d9918c592e5b84a00d204d1e85dbfae27340d c3a - Trojan.Win32.Agent.acolm ( BitDefender: Trojan.GenericKDV.1367635, AVAST4: Win32:Caphaw-AJ [Trj] )
- \mem.exe._d9918c592e5b84a00d204d1e85dbfae27340dc3a - Trojan.Win32.Agent.acolm ( BitDefender: Trojan.GenericKDV.1367635, AVAST4: Win32:Caphaw-AJ [Trj] )
- \mmc.exe._d9918c592e5b84a00d204d1e85dbfae27340dc3a - Trojan.Win32.Agent.acolm ( BitDefender: Trojan.GenericKDV.1367635, AVAST4: Win32:Caphaw-AJ [Trj] )
- \netdde.exe._d9918c592e5b84a00d204d1e85dbfae27340d c3a - Trojan.Win32.Agent.acolm ( BitDefender: Trojan.GenericKDV.1367635, AVAST4: Win32:Caphaw-AJ [Trj] )
- \oobechk.exe._d9918c592e5b84a00d204d1e85dbfae27340 dc3a - Trojan.Win32.Agent.acolm ( BitDefender: Trojan.GenericKDV.1367635, AVAST4: Win32:Caphaw-AJ [Trj] )
- \r2repair.exe._d9918c592e5b84a00d204d1e85dbfae2734 0dc3a - Trojan.Win32.Agent.acolm ( BitDefender: Trojan.GenericKDV.1367635, AVAST4: Win32:Caphaw-AJ [Trj] )
- \xcopy.exe._d9918c592e5b84a00d204d1e85dbfae27340dc 3a - Trojan.Win32.Agent.acolm ( BitDefender: Trojan.GenericKDV.1367635, AVAST4: Win32:Caphaw-AJ [Trj] )
-