И я туда же. Расширение у зашифрованных файлов - xtbl. Обнаружил их на файловом разделе. На системном разделе команда find таких файлов не нашла.
Спасибо.
И я туда же. Расширение у зашифрованных файлов - xtbl. Обнаружил их на файловом разделе. На системном разделе команда find таких файлов не нашла.
Спасибо.
Уважаемый(ая) [B]iRomul[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('c:\windows\chromemngr.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Обновите базы AVZ
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Готово
Поместите в карантин МВАМ все, [B]кроме[/B]
[CODE]PUP.Optional.OpenCandy, C:\Users\roman\Downloads\DTLite4491-0356.exe, , [8989a7737f0b62d4a6db6772b74e56aa], [/CODE]
c:\windows\chromemngr.exe удалите
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
Готово. Только судя по сообщениям в терминале он мне лишнего удалил, в частности я заметил директорию CppCat.
[QUOTE]c:\users\roman\AppData\Roaming\CppCat
c:\users\roman\AppData\Roaming\CppCat\CppCat.lic
c:\users\roman\AppData\Roaming\CppCat\Settings.xml[/QUOTE]восстановите так [url]http://virusinfo.info/showthread.php?t=58309&p=514765&viewfull=1#post514765[/url]
Окей, восстановил. Какие-нибудь сканирования еще нужно провести?
[url="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/url]
С расшифровкой не поможем
[url]http://virusinfo.info/announcement.php?f=46&a=52[/url]
Благодарю. Подскажите - откуда оно взялось? И как мне обезопасить себя от этой атаки? Я где-то на форуме видел упоминание RDP, но трудно представить, как кто-то извне смог бы подключиться по этому протоколу.
Да, у Вас еще и программа удаленного администрирования Wasppacer была удалена.
Так что зашли скорее всего через RDP, подобрав простой пароль
Спасибо большое! Буду разбираться с безопасностью.
Тему можно закрывать.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\roman\appdata\roaming\windows\wasppacer.exe - [B]not-a-virus:NetTool.Win32.Wasppace.n[/B][*] c:\windows\chromemngr.exe - [B]Backdoor.Win32.Drivedos.z[/B] ( AVAST4: Win32:Malware-gen )[/LIST][/LIST]