На компьютере были зашифрованы файлы (doc, xls, jpeg включая RAR архивы) -к их расширениям добавилось [EMAIL="[email protected]"][email protected][/EMAIL], пример названия файла газета[email protected]
логи согласно инструкции во вложении.
Printable View
На компьютере были зашифрованы файлы (doc, xls, jpeg включая RAR архивы) -к их расширениям добавилось [EMAIL="[email protected]"][email protected][/EMAIL], пример названия файла газета[email protected]
логи согласно инструкции во вложении.
Уважаемый(ая) [B]skin242[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\Ирина\Local Settings\Application Data\ConvertAd\ConvertAd.exe','');
DeleteFile('C:\Documents and Settings\Ирина\Local Settings\Application Data\ConvertAd\ConvertAd.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ConvertAd','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Карантин выслал
новые логи во вложении
Пофиксите в HiJack
[CODE]O4 - Startup: ufr_reports[/CODE]
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
O4 - Startup: ufr_reports в HiJack - пофиксил
Лог полного сканирования MBAM во вложении
Лог испорчен. Переделайте
[QUOTE=thyrex;1127951]Лог испорчен. Переделайте[/QUOTE]
Извиняюсь
Вложение в архиве и в тексте
Удалите в МВАМ (поместите в Карантин) всё, [B]кроме[/B]
[CODE]PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|AntiVirusDisableNotify, 1, Good: (0), Bad: (1),,[42142456f7846ccaedc60a6f877d18e8]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FirewallDisableNotify, 1, Good: (0), Bad: (1),,[30263d3d0a71b97df2c2176218ec6e92]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify, 1, Good: (0), Bad: (1),,[0452e69484f7ae887b3a2554887c3ec2]
Files: 34
Rootkit.Dropper, C:\Documents and Settings\?˜N??????°\Application Data\Thinstall\office\300000009e500002i\EXCEL.EXE, , [9db98febdba07eb858a888c92fd1c040],
PUP.RiskwareTool.CK, D:\PhotoshopCS6_13.0.1.1_Portable\App\PhotoshopCS6\amtlib.dll, , [42146b0f532851e51f6d8178cf326799],
Trojan.Dropped, D:\Program Files\msi InstallSource MSXML\hidcon.exe, , [60f687f3116a0630d2f74355788956aa],
PUP.RiskWareTool.CK, D:\utilits\proba\NOD32.FiX.v1.8-nsane.exe, , [fe5897e3cead4ee88c7394fe36cef709],[/CODE]
Пришлите зашифрованный файл небольшого размера
зашифрованный Файл в архиве.
Увы, подходящего ключа не нашлось
То-есть вариантов расшифровки больше нет... ?
Вложение из письма сохранилось?
К сожалению нет.
Тогда увы. Хотя при наличии шифратора ожидание все равно составило около недели и до нескольких месяцев.
Ок! спасибо за проведенную работу.
Будем рыть дальше...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]