Здравствуйте.
Поймали троянец. В каждой папке на компьютере текстовый файл с содержанием:
"Все файлы на вашем пк зашифрованы!Для расшифровки файлов, вам необходимо написать на email: [email protected]
Стоимость расшифровки файлов 6500 руб., спешите! Скоро цена будет больше!"
"Скрипт лечения/карантина и сбора информации для раздела "Помогите!" зависает при чтении файлов:
c:\ProgramData\HTC\HTCMediaHub\_mediaclient_temp.t mp
c:\Users\User\AppData\Local\Microsoft\Windows\WebC ache\webCacheV01.tmp
В "футере" утилиты при этом прописан адрес папки: c:\Users\User\AppData\Local\Temp\WPDNSE\
Последний раз редактировалось federikos; 13.09.2016 в 15:16.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) federikos, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
Обратите внимание, что будет выполнена перезагрузка компьютера.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Прикрепляю записи журнала eset с угрозами, которые были обнаружены на ноутбуке в последнее время. Теоретически что-то отсюда могло попасть на зараженный пк через ЯндексДиск, флешку или почту.
Первая (самая новая) запись (о трояне BAT/Filecoder.b) появилась во время попыток расшифровки файлов утилитами касперского.
Пришлите тогда оригиналы doc и docx файлов, шифрованные копии которых Вы предоставили в первом сообщении. Но это поможет скорее всего только подтвердить мою гипотезу о модификации оригинального кода шифровальщика
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Карантин или отчет CureIt никак не поможет найти источник проблем?
- - - - -Добавлено - - - - -
почта себя немного странно вела перед шифровкой, не отправлялось письмо несколько раз подряд (одно из писем в приложении)
еще запускался файл sumprop.xls с макросами
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: