Здравствуйте!
Вижу, такая тема сегодня уже поднималась. Троян, определяемый AVG как FileCryptor.OP (правда только на следующий день, когда было поздно), был получен в письме с якобы копией постановления суда, и благополучно запущен, зашифровав значительное количество файлов.
Сам вирус есть в наличии. Ссылка на образцы зашифрованных файлов и _Admin_Файлы зашифрованы.txt здесь.
Буду признателен за помощь!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) rowman, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\DealPly\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Program Files\DealPly\DealPlyUpdate.exe',''); QuarantineFile('C:\WINDOWS\system32\eDStoolbar.dll',''); QuarantineFile('C:\opera.bat',''); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\eTranslator\eTranslator.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\browser.bat',''); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\browser.bat','32'); DeleteFile('C:\Documents and Settings\Admin\Application Data\eTranslator\eTranslator.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Update'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\opera.bat','32'); DeleteFile('C:\Program Files\DealPly\DealPlyUpdate.exe','32'); DeleteFile('C:\WINDOWS\Tasks\DealPlyUpdate.job','32'); DeleteFile('C:\WINDOWS\Tasks\At2.job','32'); DeleteFile('C:\WINDOWS\Tasks\At1.job','32'); DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\DealPly\UPDATE~1\UPDATE~1.EXE','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите в HiJack
Сделайте новые логиR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f86801463bb 1e52d5acffde1c672ad44&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f86801463bb 1e52d5acffde1c672ad44&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=r...c672ad44&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=r...c672ad44&text=
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=r...c672ad44&text=
Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Сделайте такой лог
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Скажите пожалуйста, а премодерация только у меня?) Раньше вроде не было.
Хм! С другого IP-адреса всё нормально)
Логи MBAM в текстовом формате пустые. Нашёл автосохранённые в формате .xml. Карантин отправил. Сам троян из письма нужен?
Последний раз редактировалось rowman; 06.11.2014 в 23:05.
Пересоздайте ярлыки
Удалите вручнуюC:\Documents and Settings\All Users\Главное меню\Программы\Яндекс\Элементы Яндекса\Страница Элементов Яндекса для Internet Explorer.lnk
C:\Documents and Settings\All Users\Главное меню\Программы\Яндекс\Яндекс.Бар\Онлайн помощь по Яндекс.Бару для Internet Explorer.lnk
C:\Documents and Settings\Admin\Главное меню\Программы\Google Chrome\Google Chrome.lnk
C:\Documents and Settings\Admin\Рабочий стол\Нужности\Google Chrome.lnk
C:\Documents and Settings\Admin\Главное меню\Программы\Стандартные\Служебные\Internet Explorer (без надстроек).lnk"
C:\Documents and Settings\Admin\Рабочий стол\Нужности\Opera.lnk
C:\Documents and Settings\Admin\Рабочий стол\Нужности\Yandex.lnk
C:\sllauncher.bat
C:\Acer.Empowering.Framework.Launcher.bat
C:\Program Files\ШоппингГид
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Хорошо, завтра сделаю. А папку D:\wintmp с вирусами удалять?
Удаляйте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
C расшифровкой, как я понимаю, ничего не выйдет?
На данный момент ничего
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо! Будем ждать.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 21
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) rowman, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
