Здравствуйте. На днях словили трояна, зашифровал все до чего дотянулся. Есть какие либо варианты дешифровки?
Найденные вирусы
Trojan-Ransom.Win32.Shade.pan
Trojan.Win32.Reconyc.izkx
Trojan.Win32.Agent.nezeod
Здравствуйте. На днях словили трояна, зашифровал все до чего дотянулся. Есть какие либо варианты дешифровки?
Найденные вирусы
Trojan-Ransom.Win32.Shade.pan
Trojan.Win32.Reconyc.izkx
Trojan.Win32.Agent.nezeod
Уважаемый(ая) [B]саша233[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
С расшифровкой скорее всего не поможем.
HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[B]Важно[/B]: необходимо отметить и профиксить [B]только[/B] то, что указано ниже.
[CODE]
O4 - MSConfig\startupreg: CSRSS [command] = C:\ProgramData\Drivers\csrss.exe (HKCU) (2018/11/09) (file missing)
O4 - MSConfig\startupreg: Client Server Runtime Subsystem [command] = C:\ProgramData\Windows\csrss.exe (HKCU) (2018/11/09) (file missing)
O4 - MSConfig\startupreg: hh.exe [command] = C:\ProgramData\Resources\svchost.exe (HKCU) (2018/11/09) (file missing)
[/CODE]
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
QuarantineFile('C:\ProgramData\Drivers\csrss.exe', '');
QuarantineFile('C:\ProgramData\Resources\svchost.exe', '');
DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32');
DeleteFile('C:\ProgramData\Resources\svchost.exe', '32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hh.exe','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
2018-11-09 14:36 - 2018-11-10 11:43 - 000000000 __SHD C:\Users\Все пользователи\Resources
2018-11-09 14:36 - 2018-11-10 11:43 - 000000000 __SHD C:\ProgramData\Resources
2018-11-09 14:02 - 2018-11-09 14:02 - 003072054 _____ C:\Users\Ольга\AppData\Roaming\5F5987EF5F5987EF.bmp
2018-11-09 14:01 - 2018-11-09 14:01 - 000004150 _____ C:\Users\Ольга\Desktop\README9.txt
2018-11-09 14:01 - 2018-11-09 14:01 - 000004150 _____ C:\Users\Ольга\Desktop\README8.txt
2018-11-09 14:01 - 2018-11-09 14:01 - 000004150 _____ C:\Users\Ольга\Desktop\README7.txt
2018-11-09 14:01 - 2018-11-09 14:01 - 000004150 _____ C:\Users\Ольга\Desktop\README6.txt
2018-11-09 14:01 - 2018-11-09 14:01 - 000004150 _____ C:\Users\Ольга\Desktop\README5.txt
2018-11-09 14:01 - 2018-11-09 14:01 - 000004150 _____ C:\Users\Ольга\Desktop\README4.txt
2018-11-09 14:01 - 2018-11-09 14:01 - 000004150 _____ C:\Users\Ольга\Desktop\README3.txt
2018-11-09 14:01 - 2018-11-09 14:01 - 000004150 _____ C:\Users\Ольга\Desktop\README2.txt
2018-11-09 14:01 - 2018-11-09 14:01 - 000004150 _____ C:\Users\Ольга\Desktop\README10.txt
2018-11-08 15:24 - 2018-11-10 11:43 - 000000000 __SHD C:\Users\Все пользователи\Windows
2018-11-08 15:24 - 2018-11-10 11:43 - 000000000 __SHD C:\ProgramData\Windows
MSCONFIG\startupreg: Client Server Runtime Subsystem => "C:\ProgramData\Windows\csrss.exe"
MSCONFIG\startupreg: CSRSS => "C:\ProgramData\Drivers\csrss.exe"
MSCONFIG\startupreg: hh.exe => "C:\ProgramData\Resources\svchost.exe"
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
- Подготовьте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]AdwCleaner[/URL] и приложите его в теме.
Прикрепил. архива карантин нет, т.к. я до этого заархивировал эти файлы. как их выложить? пароль на архиве virus
Фикс FRST выполнился не верно, так как не сохранили файл с поддержкой Unicode.
[CODE]�����[/CODE]
Сохраните пожалуйста fixlist.txt с поддержкой unicode.
[ATTACH=CONFIG]674909[/ATTACH]
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]1[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]6[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] \=ED=EE=E2=E0=FF =EF=E0=EF=EA=E0 (2)\drivers-csrss.zip - [B]UDS:=
Trojan.Win32.Agent.sb[/B] ( BitDefender: Gen:Trojan.Heur.2mKfXadFIYgc =
)[*] \=ED=EE=E2=E0=FF =EF=E0=EF=EA=E0 (2)\resources-svchost.zip - [B]=
UDS:Trojan.Win32.Agent.sb[/B] ( BitDefender: Gen:Trojan.Heur.GZ.VmGfb4=
Xcdkp )[*] \=ED=EE=E2=E0=FF =EF=E0=EF=EA=E0 (2)\temp0(tmp.exe).zip - [B]Tro=
jan-Ransom.Win32.Shade.pan[/B] ( BitDefender: Gen:Trojan.Heur.2mKfXadF=
IYgc )[*] \=ED=EE=E2=E0=FF =EF=E0=EF=EA=E0 (2)\windows-csrss.zip - [B]Troj=
an-Ransom.Win32.Shade.pan[/B][/LIST][/LIST]