Файлы зашифрованы [Trojan.Win32.Cossta.abkv ]

**vmedkoll3** · 06.03.2014, 14:22

пришло письмо с высшего арбитражного суда с вложением с расширением .zip, после этого все файлы зашифрованы в расширения добавлена надпись "[email protected]_327", сменились обои, что "все файлы у меня пришли на мыло [email protected] твой id 327"hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 06.03.2014, 14:25

Уважаемый(ая) vmedkoll3, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 06.03.2014, 16:53

Здравствуйте!

Закройте все программы

Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;   
 TerminateProcessByName('c:\documents and settings\user\Главное меню\Программы\Автозагрузка\svchost.exe');
 QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\cleen.bat','');
 QuarantineFile('c:\documents and settings\user\Главное меню\Программы\Автозагрузка\svchost.exe','');
 DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\bmp.bmp','32');
 DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\cleen.bat','32');
 DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\svchost.exe','32');
 DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\одуваньш.txt','32');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;   
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

O4 - Startup: bmp.bmp
O4 - Startup: cleen.bat
O4 - Startup: svchost.exe
O4 - Startup: одуваньш.txt

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Сделайте лог полного сканирования MBAM (http://virusinfo.info/showthread.php?t=53070)

**vmedkoll3** · 07.03.2014, 10:01

hijackthis.log virusinfo_syscheck.zip MBAM-log-2014-03-07 (09-31-02).txt
строк:
O4 - Startup: bmp.bmp
O4 - Startup: cleen.bat
O4 - Startup: svchost.exe
O4 - Startup: одуваньш.txt[/B]
Нет

**mike 1** · 07.03.2014, 13:24

Сделайте логи RSIT.

**vmedkoll3** · 11.03.2014, 07:55

info.txt log.txt

**mike 1** · 11.03.2014, 12:46

Забыл в прошлый раз написать логи AVZ сделайте версией AVZ 4.43

**vmedkoll3** · 11.03.2014, 13:41

virusinfo_syscure.zip virusinfo_syscheck.zip virusinfo_autoquarantine.zip

**mike 1** · 11.03.2014, 14:32

Код:

C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job

Откройте любой файл в блокноте и покажите его содержимое.

**vmedkoll3** · 11.03.2014, 15:37

ґя$Ъe‘FLЅ аэЯы!гF <
s *!Ю
; з ) C : \ P r o g r a m F i l e s \ H P \ H P L J U T \ H P L J U T S C H . e x e / U A S Y S T E M !>AB02;5=> N e t S c h e d u l e J o b A d d . 0 Э
яяяя УХqSИеј©(Ћ·Ao{ЉV:diќ*ЋaНЧIўѕ(чЄ=*¶хМF$}8раbs5п& пм=›ЏІPХл д]—”

вот такие "кракозябры" должны быть?

**mike 1** · 11.03.2014, 16:13

Это нормальные файлы. Логи в порядке. Дешифратором для этой версии пока никто не поделился.

**vmedkoll3** · 11.03.2014, 16:30

остается ждать?Вы ответите в эту тему?

**mike 1** · 11.03.2014, 16:36

1. Остается либо ждать пока кто нибудь поделится с другими, либо самому купить дешифратор для этой версии.

2. У меня за день тем 20-30 разных набегает. Поэтому лучше будет если вы периодически будете спрашивать.

**vmedkoll3** · 11.03.2014, 16:41

Спрашивать куда и где? Trojan.Win32.Cossta.abkv это для него дешифратор?

**mike 1** · 11.03.2014, 18:37

1. По поводу наличия дешифратора.

2. Нет это не сам шифратор. Сам шифратор удаляется с компьютера по окончанию шифрования файлов.

**CyberHelper** · 11.03.2014, 18:47

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\documents and settings\user\главное меню\программы\автозагрузка\svchost.exe - Trojan.Win32.Cossta.abkv ( BitDefender: Gen:Variant.Zusy.84683, AVAST4: Win32:Trojan-gen )

Файлы зашифрованы [Trojan.Win32.Cossta.abkv ] (заявка № 156341)

Опции темы

Файлы зашифрованы [Trojan.Win32.Cossta.abkv ]

Логи RSIT

Итог лечения

Похожие темы

Зашифрованы файлы

Ваши файлы и базы данных зашифрованы. Все файлы doc,xls,jpg с изменённым расширением

файлы в сетях паука ( зашифрованы файлы)

Зашифрованы файлы! Все файлы стали с расширением *.BoX26

Вирусом зашифрованы все текстовые файлы и файлы jpg. [Trojan-Dropper.Win32.Injector.fpym, Backdoor.Win32.Buterat.djfh ]

Метки для этой темы

Ваши права в разделе