Зашифрованы файлы. AVZ заразу не выявил [Trojan-Ransom.Win32.Shade.ut ]

**Виталий Анчуков** · 22.09.2015, 13:21

DrWeb идентифицировал как Trojan.Packed.32915, в базе от 21.09. Все зашифровано с расширением XTBL.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 22.09.2015, 13:22

Уважаемый(ая) Виталий Анчуков, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 23.09.2015, 20:38

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Documents and Settings\Aleksandr\Local Settings\Temporary Internet Files\Content.IE5\F21KA5KQ\C__Users_A90B~1_AppData_Local_Temp_AKT_-21092015-PowerPoint[1].exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteFile('C:\Documents and Settings\Aleksandr\Local Settings\Temporary Internet Files\Content.IE5\F21KA5KQ\C__Users_A90B~1_AppData_Local_Temp_AKT_-21092015-PowerPoint[1].exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

**Виталий Анчуков** · 24.09.2015, 10:27

Спасибо за внимание, с новыми базами троян обнаружился. Может подскажете, насколько реально декодировать зашифрованые файлы?

**thyrex** · 25.09.2015, 18:55

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

**CyberHelper** · 25.09.2015, 19:05

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 3
В ходе лечения обнаружены вредоносные программы:
1. c:\documents and settings\aleksandr\local settings\temporary internet files\content.ie5\f21ka5kq\c__users_a90b~1_appdata _local_temp_akt_-21092015-powerpoint[1].exe - Trojan-Ransom.Win32.Shade.ut ( AVAST4: Win32:Dropper-gen [Drp] )

Зашифрованы файлы. AVZ заразу не выявил [Trojan-Ransom.Win32.Shade.ut ] (заявка № 190343)

Опции темы