Показано с 1 по 13 из 13.

Поймал шифровальщик [Trojan-Dropper.Win32.Injector.ljak ] (заявка № 177019)

  1. #1
    Junior Member Репутация
    Регистрация
    21.04.2011
    Сообщений
    280
    Вес репутации
    22

    Поймал шифровальщик [Trojan-Dropper.Win32.Injector.ljak ]

    Здравствуйте, уважаемые хелперы.
    Мне очень нужна Ваша помощь. Умоляю, не обходите стороной. Я во многом виноват перед Вами. И я много думал над этим. Простите меня, пожалуйста. Очень прошу, не бросайте меня. Логи прилагаю, но сделать их удалось только полиморфным АВЗ. Так же периодически закрывается проводник и пропадает рабочий стол, решается ручным запуском процесса explorer.exe Файлы зашифрованы. В общем поймал шифровальщик. Какой - не знаю, Антивирус Нод 32 убил какие-о файлы Readme и ещё какие-то - в результате никаких сообщений мне не выскакивало. Но все ворд, бат-файлы. картинки, текстовые файлы - зашифрованы.
    Есть пример файла до и после шифрования. Пришлю по первому требованию.
    Пожалуйста, помогите удалить шифровальщик, и дайте, пожалуйста, дешифратор. Если нет дешифратора - скажите, пожалуйста, почту злоумышленников, чтобы я мог купить дешифратор. в
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) Паттттт, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,456
    Вес репутации
    2914
    Выполните скрипт в AVZ
    Код:
    procedure DeleteDirectoryF(N: String);
    begin
     DeleteFileMask(N, '*', true);
     DeleteDirectory(N);
    end;
    
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
     SetServiceStart('VersionUpdService', 4);
     DeleteService('VersionUpdService');
     SetServiceStart('NTService1', 4);
     DeleteService('NTService1');
     SetServiceStart('mintcastnetworks', 4);
     DeleteService('mintcastnetworks');
     TerminateProcessByName('c:\program files\jads\jads\versionupdaterservice.exe');
     QuarantineFile('c:\program files\jads\jads\versionupdaterservice.exe','');
     TerminateProcessByName('c:\program files\jads\jads\mintcastnetworks.exe');
     QuarantineFile('c:\program files\jads\jads\mintcastnetworks.exe','');
     TerminateProcessByName('c:\program files\jads\jads\injector.exe');
     TerminateProcessByName('c:\program files\jads\jads\injectorserviceproject.exe');
     DeleteFile('c:\program files\jads\jads\injector.exe','32');
     DeleteFile('c:\program files\jads\jads\injectorserviceproject.exe','32');
     DeleteFile('c:\program files\jads\jads\mintcastnetworks.exe','32');
     DeleteFile('c:\program files\jads\jads\versionupdaterservice.exe','32');
     DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;	
    ExecuteRepair(15); 
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    21.04.2011
    Сообщений
    280
    Вес репутации
    22
    Скрипт выполнил, логи прилагаю, карантин загрузил:

    Результат загрузки
    Файл сохранён как 150211_130213_quarantine_54db1a951e973.zip
    Размер файла 138340
    MD5 bf0a7eb2af173aa143b0960c72fc0bf8
    Файл закачан, спасибо!

    Проводник перестал вылетать, компьютер стал работать шустрее. Скажите, пожалуйста, сам вирус мы победили? Нод 32 периодически ругается на процесс opera.exe в оперативной памяти, обычно, когда я использую Опера для выхода в интернет.
    А что с расшифровкой? Файл и его зашифрованный вариант приложу по первому требованию.

    - - - - -Добавлено - - - - -

    Так что с вирусом?
    Вложения Вложения

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,456
    Вес репутации
    2914
    Сделайте логи RSIT
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    21.04.2011
    Сообщений
    280
    Вес репутации
    22
    Извините, что так долго не отвечал, но было много работы, и я только сегодня смог заняться компьютером. Логи RSIT прилагаю. Каковы будут дальнейшие рекомендации?
    Вложения Вложения
    • Тип файла: txt info.txt (32.0 Кб, 0 просмотров)
    • Тип файла: txt log.txt (39.0 Кб, 1 просмотров)

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,456
    Вес репутации
    2914
    Пофиксите в HiJack
    Код:
    O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
    Удалите вручную
    C:\Windows\system32\mintcastnetworksOff.ini
    C:\Windows\system32\mintcastnetworks.ini
    C:\Windows\system32\mintcastnetworks.dll
    C:\Program Files\Jads
    Что стало с именами файлов после шифрования?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    21.04.2011
    Сообщений
    280
    Вес репутации
    22
    Расширение файлов *.xtbl

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,456
    Вес репутации
    2914
    Без шансов
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    21.04.2011
    Сообщений
    280
    Вес репутации
    22
    Здравствуйте, опять.
    Всё сделал, как Вы сказали, вроде с компом всё было нормально, даже браузеры виснуть и вылетать перестали. Но вчера вдруг начал вылетать антивиирусник Nod32. Вылетал несколько раз за день. Поэтому я сделал новые логи АВЗ и Хаййджека. Взгляните, пожалуйста.

  12. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,456
    Вес репутации
    2914
    Ничего плохого
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  13. #12
    Junior Member Репутация
    Регистрация
    21.04.2011
    Сообщений
    280
    Вес репутации
    22
    Большущее Вам спасибо!
    Удачи во всём!

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,514
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\programdata\uninstall information\insttray.exe - Trojan-Dropper.Win32.Injector.ljak ( AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Паттттт, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Поймал Вирус-шифровальщик
      От pksemvl в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.01.2015, 17:55
    2. Поймал Вирус-шифровальщик
      От pksemvl в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 21.01.2015, 11:48
    3. Поймал шифровальщик CoDe
      От Romego1989 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 02.11.2014, 16:36
    4. Поймал шифровальщик .CoDe
      От Bercut89 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 31.10.2014, 21:14
    5. Поймал шифровальщик .just
      От Екапринт в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 12.08.2014, 17:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00227 seconds with 22 queries