Показано с 1 по 20 из 20.

trojan.encoder или что-то подобное (заявка № 83313)

  1. #1
    Junior Member Репутация
    Регистрация
    18.07.2010
    Сообщений
    10
    Вес репутации
    50

    Thumbs up trojan.encoder или что-то подобное

    Утром, после включения компьютера, заметил странные тормоза. В диспетчере задач обнаружил процесс с именем VLOBPULQ.exe. Выгрузил его, в автозапуске так же есть запись c:\windows\system32\VLOBPULQ.exe.
    Все rar, zip, jpg, txt теперь выглядят как tmp.txt.crypted.
    Пытался воспользоваться утилитами от dr.web для лечения trojan.encoder - ни одна не помогла. Файла crypted.txt в c:\ нет.
    UPD: среди удаленных файлов нашлась вот такая зараза: 63a5e3fd.exe infected with BackDoor.Siggen.25631. Дата создания - вчера.
    Вложения Вложения
    Последний раз редактировалось hasuhasu; 18.07.2010 в 14:53.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    SetAVZPMStatus(True);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     QuarantineFile('C:\Windows\system32\DRIVERS\m5288.sys','');
     QuarantineFile('C:\Windows\system32\DRIVERS\m5287.sys','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
    Логи повторите.
    Paula rhei.
    Поддержать проект можно тут

  4. #3
    Junior Member Репутация
    Регистрация
    18.07.2010
    Сообщений
    10
    Вес репутации
    50
    При выполнении первого скрипта, AVZ вылетает с ошибкой. (см. вложение)
    ОС windows 7.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    ОС windows 7, какая битность?
    Так попробуем:

    Код:
    begin
     QuarantineFile('C:\Windows\system32\DRIVERS\m5288.sys','');
     QuarantineFile('C:\Windows\system32\DRIVERS\m5287.sys','');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    SetAVZPMStatus(True);
    end.
    Далее второй скрипт из сообщения #2 и заливайте карантин на анализ.
    Paula rhei.
    Поддержать проект можно тут

  6. #5
    Junior Member Репутация
    Регистрация
    18.07.2010
    Сообщений
    10
    Вес репутации
    50
    Все сделал.
    Windows 32-битная.

    Результат загрузки
    Файл сохранён как 100719_113251_quarantine_4c43ffa3cd968.zip
    Размер файла 123054
    MD5 64bd6ac68bfbbd819c7ff5116523b1be

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Файлы чистые. Повторите лог virusinfo_syscure.zip
    Paula rhei.
    Поддержать проект можно тут

  8. #7
    Junior Member Репутация
    Регистрация
    18.07.2010
    Сообщений
    10
    Вес репутации
    50
    Вот

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Сделайте лог MBAM
    Paula rhei.
    Поддержать проект можно тут

  10. #9
    Junior Member Репутация
    Регистрация
    18.07.2010
    Сообщений
    10
    Вес репутации
    50
    Лог mbam

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    D:\1111\ - это вы папку создали?
    Удалите в MBAM:
    Код:
    Зараженные параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.
    
    Зараженные файлы:
    D:\1111\VLOBPULQ.exe (Trojan.Agent) -> No action taken.
    Файл C:\Windows\System32\GreenFields.scr проверьте на virustotal.com результат проверки сообщите.
    Paula rhei.
    Поддержать проект можно тут

  12. #11
    Junior Member Репутация
    Регистрация
    18.07.2010
    Сообщений
    10
    Вес репутации
    50
    Да, папку D:\1111\ создал я и восстановил в нее удаленный .exe программы, которая была прописана в автозапуске.

    Результат проверки C:\Windows\System32\GreenFields.scr
    http://www.virustotal.com/ru/analisi...030-1279531152

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Что с состоянием машины на данный момент?
    Paula rhei.
    Поддержать проект можно тут

  14. #13
    Junior Member Репутация
    Регистрация
    18.07.2010
    Сообщений
    10
    Вес репутации
    50
    Цитата Сообщение от миднайт Посмотреть сообщение
    Что с состоянием машины на данный момент?
    Да все нормально. Всю нечисть из автозагрузки + вот это 63a5e3fd.exe infected with BackDoor.Siggen.25631, я еще вчера вычистил. Проверил последним dr.web cure it, он ничего больше не находит.
    Мне бы файлы зашифрованные восстановить

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    Обратитесь вот сюда (http://vms.drweb.com/sendvirus/). Выберите категорию "Запрос на лечение".
    Отправьте в архиве пару зашифрованных файлов. В "комментариях" подробно опишите проблему. Стоит немного подождать ответа от вирлаба Dr.Web

  16. #15
    Junior Member Репутация
    Регистрация
    18.07.2010
    Сообщений
    10
    Вес репутации
    50
    Цитата Сообщение от DefesT Посмотреть сообщение
    Обратитесь вот сюда (http://vms.drweb.com/sendvirus/). Выберите категорию "Запрос на лечение".
    Отправьте в архиве пару зашифрованных файлов. В "комментариях" подробно опишите проблему. Стоит немного подождать ответа от вирлаба Dr.Web
    Вчера отправил, пока молчат.
    Вот тут обещают в ближайшее время выложить утилиту для расшифровки
    http://forum.drweb.com/index.php?sho...0&#entry430852

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    тогда надо чуток подождать

  18. #17
    Junior Member Репутация
    Регистрация
    18.07.2010
    Сообщений
    10
    Вес репутации
    50
    ftp://ftp.drweb.com/pub/drweb/tools/te47decrypt.exe - утилита для расшифровки.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Всё расшифровалось? Впрочем, с проблемами лучше прямо на тот форум.

  20. #19
    Junior Member Репутация
    Регистрация
    18.07.2010
    Сообщений
    10
    Вес репутации
    50
    Цитата Сообщение от pig Посмотреть сообщение
    Всё расшифровалось? Впрочем, с проблемами лучше прямо на тот форум.
    Пока никаких проблем не заметил, все ок.

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) hasuhasu, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan.encoder.96
      От SoftAlex в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.03.2011, 17:27
    2. Вирусные аналитики: Все о Trojan.Encoder и Trojan.Winlock
      От SDA в разделе Вредоносные программы
      Ответов: 0
      Последнее сообщение: 09.12.2009, 09:56
    3. подозоение на Trojan.Packed.13 или нечто подобное
      От Константин Д. в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 01:43
    4. Dr.WEB Trojan.Encoder
      От umask в разделе Вредоносные программы
      Ответов: 6
      Последнее сообщение: 31.01.2006, 12:14

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01164 seconds with 20 queries