Показано с 1 по 9 из 9.

На почту прислали троян в виде счёт-фактуры [not-a-virus:WebToolbar.Win32.Neobar.j ] (заявка № 197725)

  1. #1
    Junior Member Репутация
    Регистрация
    15.08.2014
    Сообщений
    39
    Вес репутации
    36

    На почту прислали троян в виде счёт-фактуры [not-a-virus:WebToolbar.Win32.Neobar.j ]

    Прислали письмо с фиктивной счёт фактурой. во вложении скрипт. Пользователь запустил вложение, только потом забеспокоился.
    Текст письма "Original Message-----
    From: ОАО Media Group [mailto:[email protected]]
    Sent: Wednesday, March 02, 2016 7:03 AM
    To: info
    Subject: Документы для оплаты за наши услуги
    В понедельник не смогли к Вам дозвониться.
    Сегодня по почте Вам придут оригиналы документов (в том числе - счета-фактуры за услуги) по нашему контракту.
    Обязательно учтите, что у нашей фирмы поменялись банковские реквизиты, так что проводите оплату по новым счетам - детали во вложенном файле.
    Обновленные оригиналы в ближайшие дни перевыставим.
    "
    Примерно такое же письмо получали и у других пользователей. ящики меняются но текст примерно одинаковый.
    Вирустотал определил как
    VBA32 suspected of Malware.JS.Obfuscated 20160302
    могу прислать скрипт в карантин.
    Каспер его пропустил. Прошу помочь очистить комп от трояна и пополните базы антивирусов.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) majades, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    15.08.2014
    Сообщений
    39
    Вес репутации
    36
    Еще в хроме стоит Go-Search.ru
    как его тоже убрать?

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Упакуйте тело шифровальщика с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Установите для файлов с расширением .js ассоциацию с Блокнотом (Открыть с помощью... и галочку "Всегда использовать это приложение).

    Выполните скрипт в AVZ:
    Код:
    begin
     QuarantineFileF('C:\Users\marketing-nissan-tlt\AppData\Roaming\TextEditor', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
     QuarantineFileF('C:\Users\marketing-nissan-tlt\AppData\Local\SweetLabs App Platform', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
     QuarantineFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', '');
     QuarantineFile('C:\Windows\system32\GroupPolicy\Machine\R', '');
     QuarantineFile('C:\Users\marketing-nissan-tlt\AppData\Roaming\TextEditor\Daemon\TextEditor.exe', '');
     QuarantineFile('C:\Users\marketing-nissan-tlt\AppData\Local\SweetLabs App Platform\Engine\ServiceHostAppUpdater.exe', '');
     DeleteFile('C:\Users\marketing-nissan-tlt\AppData\Roaming\TextEditor\Daemon\TextEditor.exe', '32');
     DeleteFile('C:\Users\marketing-nissan-tlt\AppData\Local\SweetLabs App Platform\Engine\ServiceHostAppUpdater.exe', '32');
     DeleteFileMask('C:\Users\marketing-nissan-tlt\AppData\Roaming\TextEditor', '*', true);
     DeleteFileMask('C:\Users\marketing-nissan-tlt\AppData\Local\SweetLabs App Platform', '*', true);
     DeleteDirectory('C:\Users\marketing-nissan-tlt\AppData\Roaming\TextEditor');
     DeleteDirectory('C:\Users\marketing-nissan-tlt\AppData\Local\SweetLabs App Platform');
     ExecuteFile('schtasks.exe', '/delete /TN "SweetLabs App Platform" /F', 0, 15000, true);
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'TextEditor');
    ExecuteSysClean;
     ExecuteRepair(23);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
    WBR,
    Vadim

  6. #5
    Junior Member Репутация
    Регистрация
    15.08.2014
    Сообщений
    39
    Вес репутации
    36
    Вчера отправил трояна на virusdesk касперского. Теперь антивирь глушит скрипт, во всех проявлениях. Смог вытащить из карантина архив сжатый в rar.
    К сожалению пароль на него установить не могу, сразу касперский просыпается. Отправил в карантин переименованный архив в zip, без пароля. Извините по другому не вышло.

    - - - - -Добавлено - - - - -

    Выполнил действия в AVZ и farbar. Отчёт прилагаю. Карантин сделанный AVZ отправил.
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    Reg: reg delete "HKU\S-1-5-21-3213262653-1380581488-718669818-1001Software\Microsoft\Windows\CurrentVersion\StartupApproved\Run\lcoupon" /f
    Reg: reg delete "HKU\S-1-5-21-3213262653-1380581488-718669818-1001Software\Microsoft\Windows\CurrentVersion\StartupApproved\Run\TextEditor" /f
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
    Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

    Настройте Kaspersky Endpoint Security 10 в соответствии с инструкцией: Защита от программ-шифровальщиков в Kaspersky Endpoint Security 10 для Windows Workstations. Это работает, сам проверял, и даже пропущенные антивирусом шифровальщики не смогут натворить дел.

    Отберите по возможности у пользователей права администратора. На вопли "А как же мы программы установим?!" - ответ - "Установлю сам, если действительно нужно".

    Само собой, настройки KES должны быть под паролем, или управляться с консоли Kaspersky Security Center.

    Ознакомьте своих пользователей со статьёй Даешь просвещение в массы начальников, секретарей, бухгалтеров и клерков. Приучите, а лучше внедрите административно, через приказ под роспись, инструкцию, в которой расписано, что вложения и ссылки во всех письмах от неизвестных контрагентов (да и просто из непонятных и подозрительных) НЕ ОТКРЫВАТЬ, известить системного администратора (или того, кем Вы там являетесь). Все письма с шифровальщиками и вирусами помечайте как спам, это снижает риск подобных инцидентов в будущем.
    WBR,
    Vadim

  8. #7
    Junior Member Репутация
    Регистрация
    15.08.2014
    Сообщений
    39
    Вес репутации
    36
    Огромное спасибо за рекомендации и статью.

    Лог во вложении. Что то еще на ноутбуке делать нужно?
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Своевременно устанавливайте обновления системы, отслеживайте обновления критичных к безопасности программ: браузеры, Adobe Reader, Adobe Flash Player, Java.

    Включите обнаружение потенциально нежелательного ПО в Kaspersky Endpoint Security.

    Удалите папку C:\FRST со всем содержимым.

    Выполните рекомендации после лечения.
    WBR,
    Vadim

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 89
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\marketing-nissan-tlt\appdata\roaming\texteditor\daemon\texteditor.e xe - not-a-virus:WebToolbar.Win32.Neobar.j
      2. \счет-фактура от 28.02.2016. реестр первичной документации. составлено в 1с бухгалтерия.txt.js - Trojan.JS.Agent.cuo


  • Уважаемый(ая) majades, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 20
      Последнее сообщение: 31.03.2013, 12:11
    2. На мыло прислали фаил
      От Bloodangel в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 03.07.2009, 01:43
    3. На мыло прислали фаил
      От Bloodangel в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 12.05.2009, 09:06
    4. Троян в виде файла setup.exe
      От Kolobok в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 29.11.2006, 14:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00500 seconds with 20 queries