Зашифрованы файлы [Backdoor.Win32.Drivedos.z, not-a-virus:NetTool.Win32.Wasppace.n ]

[iRomul]

И я туда же. Расширение у зашифрованных файлов - xtbl. Обнаружил их на файловом разделе. На системном разделе команда find таких файлов не нашла.
Спасибо.

[Info_bot]

Уважаемый(ая) iRomul, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\windows\chromemngr.exe','');
BC_ImportAll;
BC_Activate;	
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Обновите базы AVZ

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[iRomul]

Готово

[thyrex]

Поместите в карантин МВАМ все, кроме

Код:

PUP.Optional.OpenCandy, C:\Users\roman\Downloads\DTLite4491-0356.exe, , [8989a7737f0b62d4a6db6772b74e56aa],

c:\windows\chromemngr.exe удалите

Сделайте лог ComboFix

[iRomul]

Готово. Только судя по сообщениям в терминале он мне лишнего удалил, в частности я заметил директорию CppCat.

[thyrex]

c:\users\roman\AppData\Roaming\CppCat
c:\users\roman\AppData\Roaming\CppCat\CppCat.lic
c:\users\roman\AppData\Roaming\CppCat\Settings.xml

восстановите так http://virusinfo.info/showthread.php...l=1#post514765

[iRomul]

Окей, восстановил. Какие-нибудь сканирования еще нужно провести?

[thyrex]

Удалите ComboFix

С расшифровкой не поможем

http://virusinfo.info/announcement.php?f=46&a=52

[iRomul]

Благодарю. Подскажите - откуда оно взялось? И как мне обезопасить себя от этой атаки? Я где-то на форуме видел упоминание RDP, но трудно представить, как кто-то извне смог бы подключиться по этому протоколу.

[thyrex]

Да, у Вас еще и программа удаленного администрирования Wasppacer была удалена.
Так что зашли скорее всего через RDP, подобрав простой пароль

[iRomul]

Спасибо большое! Буду разбираться с безопасностью.
Тему можно закрывать.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\roman\appdata\roaming\windows\wasppacer.e xe - not-a-virus:NetTool.Win32.Wasppace.n
  2. c:\windows\chromemngr.exe - Backdoor.Win32.Drivedos.z ( AVAST4: Win32:Malware-gen )