-
Junior Member
- Вес репутации
- 34
Вирус закодировал файл_id- *****_protectdata@inbox [not-a-virus:RemoteAdmin.Win32.Ammyy.hq]
Уважаемые СПЕЦИАЛИСТЫ!
Сотрудница открыла письмо счастья.
Теперь бухгалтерия под угрозой.
Найден зараженный СБ, письмо тоже имеется.
Нужна помощь в лечении (хотя вирус работал примерно полтора часа и скорее всего самоуничтожился оставив резидента напоминалку о 48 часа и код дешифровки удалится из базы) и расшифровке.
Если надо могу перейти помоги + (правда с платежной системой не разобрался)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) miakl86, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName('c:\users\Главный бухгалтер\appdata\roaming\microsoft\windows\start menu\programs\startup\Архивная документация о привлечении в качестве свидетеля по гражданскому делу №273669.exe');
QuarantineFile('c:\users\Главный бухгалтер\appdata\roaming\microsoft\windows\start menu\programs\startup\Архивная документация о привлечении в качестве свидетеля по гражданскому делу №273669.exe','');
DeleteFile('c:\users\Главный бухгалтер\appdata\roaming\microsoft\windows\start menu\programs\startup\Архивная документация о привлечении в качестве свидетеля по гражданскому делу №273669.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 34
-
Вы скрипт выполняли вообще? AVZ запускали от имени Администратора по правой кнопке мыши? Если нет, срочно переделывайте, если хотите спасти хоть часть информации
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 34
Да скрипт делал как написано сейчас до работы долечу сделаю повторно
уточнение при выполнении скрипта комп перезагрузился, и опять выплыло окно с условиями и фон РС сделался с условиями.
Логи делать по инструкции?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 34
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 34
А по подписке могут помочь?
-
Нет. Бессильны даже вирлабы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 34
Спасибо что обнадежили
при включении запускается картинка с требованиями (прога для просмотра картинок) но фон рабочего стола остается без требований.
-
Пофиксите в HiJack
Код:
O4 - Startup: foxmail.bmp
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 34
Спасибо помогло!!!!
Извиняюсь это был головной распространитель, а не подскажите как проверить сеть (сетевые папки пользователей) где успел поработать шифровщик?
-
Этот шифровальщик сам работает по сети, никуда не пересылая тело
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 34
Еще раз извиняюсь а скрипт создать в AVZ возможно, чтоб найти файлы подвергшиеся кодировки (по расширению) и переместить или скопировать в одну папку?
PS. Подскажите пожалуйста как из письма извлечь архив (не запуская его) и поставить пароль хочу письмо счастья удалить (чтоб ненароком опять не запустили) а тело нужно (вдруг найдут решение расшифровки) для анализа экспертов.
Последний раз редактировалось miakl86; 26.01.2015 в 18:44.
-
Junior Member
- Вес репутации
- 34
thyrex, или кто ни будь поможет с просветлением по вопросу поста 16
-
Заморачиваться скриптом AVZ вряд ли кто-то станет
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 34
А как сохранить письмо безопасно? или где почитать как это сделать. Почитал твои темы на форумах каспера.
-
Сообщение от
miakl86
А по подписке могут помочь?
В DrWeb вроде научились такие файлы расшифровывать.
-