Показано с 1 по 7 из 7.

Помогите с расшифровкой файлов. [HEUR:Trojan.MSIL.Agent.gen ] (заявка № 219644)

  1. 17.07.2018, 09:57 #1
    lavcraft
    lavcraft вне форума
    Junior Member Репутация
    Регистрация
    16.07.2018
    Сообщений
    3
    Вес репутации
    27

    Помогите с расшифровкой файлов. [HEUR:Trojan.MSIL.Agent.gen ]

    Добрый день.
    Вирус попал в комп в почтовом сообщении в архиве, из которого пользователь запустил исполняемый exe-шник.
    Файлы зашифровались с именем: [email protected]-CL 1.5.1.0.id-3096012216-9245038618643685002362.fname-юбиляры 2017 год.docx.doubleoffset
    Логи анализа AVZ прикрепляю, Вирус в архиве отправлен по инструкции.
    В папках с зашифрованными файлами был Reedme c текстом:
    Your files was encrypted! Write us:
    [email protected]
    Вложения Вложения
  2.  Будь в курсе! Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     
  3. 17.07.2018, 10:04 #2
    Info_bot
    Info_bot вне форума
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,289
    Вес репутации
    384
    Уважаемый(ая) lavcraft, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
  4. 17.07.2018, 10:37 #3
    lavcraft
    lavcraft вне форума
    Junior Member Репутация
    Регистрация
    16.07.2018
    Сообщений
    3
    Вес репутации
    27
    Файлы утилитой FRST
    Вложения Вложения
  5. 17.07.2018, 11:40 #4
    thyrex
    thyrex вне форума
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3109
    С расшифровкой помочь не сможем. Будет только чистка мусора.

    1. Откройте Блокнот и скопируйте в него приведенный ниже текст
    Код:
    CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKLM\...\Run: [Timestasks] => C:\ProgramData\TimeTasks\timetasks.exe"
HKLM\...\Run: [ZaxarGameBrowser] => "C:\Program Files\Zaxar\ZaxarGameBrowser.exe" -s
HKLM\...\Run: [ZaxarLoader] => "C:\Program Files\Zaxar\ZaxarLoader.exe" /verysilent
CHR HKLM\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
2018-07-13 15:06 - 2018-07-13 15:06 - 000000127 _____ C:\Users\ZimirevaEU.MSK-NOVGOROD\AppData\Roaming\README.txt
2018-07-13 15:06 - 2018-07-13 15:06 - 000000127 _____ C:\Users\ZimirevaEU.MSK-NOVGOROD\AppData\README.txt
2018-07-13 15:05 - 2018-07-13 15:05 - 000000127 _____ C:\Users\ZimirevaEU.MSK-NOVGOROD\AppData\LocalLow\README.txt
2018-07-13 14:41 - 2018-07-13 14:41 - 000000127 _____ C:\Users\ZimirevaEU\README.txt
2018-07-13 14:41 - 2018-07-13 14:41 - 000000127 _____ C:\Users\ZimirevaEU\Downloads\README.txt
2018-07-13 14:41 - 2018-07-13 14:41 - 000000127 _____ C:\Users\ZimirevaEU\Documents\README.txt
2018-07-13 14:41 - 2018-07-13 14:41 - 000000127 _____ C:\Users\ZimirevaEU\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-07-13 14:41 - 2018-07-13 14:41 - 000000127 _____ C:\Users\ZimirevaEU.MSK-NOVGOROD\AppData\Local\README.txt
2018-07-13 14:41 - 2018-07-13 14:41 - 000000127 _____ C:\Users\ZimirevaEU.MSK-NOVGOROD\AppData\Local\Apps\README.txt
2018-07-13 14:40 - 2018-07-13 14:40 - 000000127 _____ C:\Users\ZimirevaEU\Desktop\README.txt
2018-07-13 14:09 - 2018-07-13 14:09 - 000000127 _____ C:\Users\ZimirevaEU\AppData\Roaming\README.txt
2018-07-13 14:09 - 2018-07-13 14:09 - 000000127 _____ C:\Users\ZimirevaEU\AppData\README.txt
2018-07-13 14:08 - 2018-07-13 14:08 - 000000127 _____ C:\Users\ZimirevaEU\AppData\LocalLow\README.txt
2018-07-13 14:05 - 2018-07-13 14:05 - 000000127 _____ C:\Users\ZimirevaEU\AppData\Local\README.txt
2018-07-13 14:05 - 2018-07-13 14:05 - 000000127 _____ C:\Users\ZimirevaEU\AppData\Local\Apps\README.txt
2018-07-13 14:05 - 2018-07-13 14:05 - 000000127 _____ C:\Users\UpdatusUser\README.txt
2018-07-13 14:05 - 2018-07-13 14:05 - 000000127 _____ C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\UpdatusUser\Downloads\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\UpdatusUser\Documents\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\UpdatusUser\Desktop\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\UpdatusUser\AppData\Roaming\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\UpdatusUser\AppData\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\UpdatusUser\AppData\LocalLow\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\UpdatusUser\AppData\Local\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\TEMP\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\TEMP\Downloads\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\TEMP\Documents\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\TEMP\Desktop\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\TEMP\AppData\Roaming\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\TEMP\AppData\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\TEMP\AppData\Local\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\Public\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\Public\Downloads\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\Default\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\Default\Downloads\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\Default\Documents\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\Default\Desktop\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\Default\AppData\Roaming\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\Default\AppData\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\Default\AppData\Local\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\Default User\Downloads\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\Default User\Documents\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\Default User\Desktop\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\Default User\AppData\Roaming\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\Default User\AppData\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\Users\Default User\AppData\Local\README.txt
2018-07-13 14:04 - 2018-07-13 14:04 - 000000127 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2018-07-13 14:01 - 2018-07-13 14:04 - 000000127 _____ C:\Users\Public\Documents\README.txt
2018-07-13 14:01 - 2018-07-13 14:04 - 000000127 _____ C:\Users\Public\Desktop\README.txt
2018-07-13 14:01 - 2018-07-13 14:01 - 000000127 _____ C:\Users\Все пользователи\README.txt
2018-07-13 14:01 - 2018-07-13 14:01 - 000000127 _____ C:\ProgramData\README.txt
2016-03-21 11:50 - 2016-03-21 11:50 - 000125439 _____ () C:\Users\ZimirevaEU.MSK-NOVGOROD\AppData\Local\Temp\TimeTasksSetup.exe
2016-03-21 11:54 - 2016-03-21 11:54 - 000000000 _____ () C:\Users\ZimirevaEU.MSK-NOVGOROD\AppData\Local\Temp\zhXtZKsjdPtmBXitbdgO.dll
Reboot:
    2. Нажмите ФайлСохранить как
    3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
    4. Укажите Тип файлаВсе файлы (*.*)
    5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
    6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
    • Обратите внимание: будет выполнена перезагрузка компьютера.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

    Антивирусная помощь

  6. 17.07.2018, 13:38 #5
    lavcraft
    lavcraft вне форума
    Junior Member Репутация
    Регистрация
    16.07.2018
    Сообщений
    3
    Вес репутации
    27
    готово
    Вложения Вложения
  7. 17.07.2018, 14:17 #6
    thyrex
    thyrex вне форума
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3109
    Больше помочь нечем. Перевод за расшифровку Вам вернут

    - - - - -Добавлено - - - - -

    C:\Users\ZimirevaEU.MSK-NOVGOROD\AppData\Local\Temp\SSTTVWWXXY.exe удалите вручную
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

    Антивирусная помощь

  8. 17.07.2018, 14:27 #7
    CyberHelper
    CyberHelper вне форума
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    983

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. \новая папка\резюме волков генадий борисович.zip - HEUR:Trojan.MSIL.Agent.gen

  • Уважаемый(ая) lavcraft, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

    • « Предыдущая тема | Следующая тема »

    Похожие темы

    1. Помогите с расшифровкой файлов
      От Dolphin082 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 06.05.2017, 19:24
    2. Помогите с расшифровкой файлов
      От ragmax в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 26.06.2015, 16:27
    3. Помогите с расшифровкой файлов
      От oaoreu в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 23.04.2015, 14:25

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  

    Правила форума

    Page generated in 0.01117 seconds with 19 queries