-
Trojan-Ransom.Win32.Xorist.cf (заявка №107304)
Пользователь обратился в сервис 911, указав на следующие проблемы в работе его компьютера:
Вчера компьютер был заражён несколькими вирусами в том числе Trojan-Ransom.Win32.Xorist.cf.
Сегодня произвёл полное сканирование и нашёл:
Trojan.Win32.Swisyn.bezg
Trojan.Win32.Agent.hvad
Trojan-Dropper.Win32.Cidox.all
Trojan-Ransom.Win32.Xorist.cf
Trojan.Win32.Scar.enfo
Trojan-Dropper.Win32.Cidox.adn
Trojan-Ransom.Win32.Mbro.sr
Trojan-Ransom.Win32.Xorist.cf
Trojan-Downloader.Win32.Tiny.crm
Trojan.Win32.Agent.hvaq
Всё было успешно вылечено, но ночью Trojan-Ransom.Win32.Xorist.cf успел зашифровать файлы на жёстком диске.
Пробовал XoristDecryptor.exe версия 2.1.4.0
Вот его лог:
2011/08/18 10:16:39.0448 1764 Trojan-Ransom.Win32.Xorist decryptor tool 2.1.4.0 Jul 31 2011 19:52:18
2011/08/18 10:16:41.0464 1764 ================================================== ==============================
2011/08/18 10:16:41.0464 1764 SystemInfo:
2011/08/18 10:16:41.0464 1764
2011/08/18 10:16:41.0464 1764 OS Version: 5.1.2600 ServicePack: 3.0
2011/08/18 10:16:41.0464 1764 Product type: Workstation
2011/08/18 10:16:41.0464 1764 ComputerName: INVISIBLE
2011/08/18 10:16:41.0464 1764 UserName: user
2011/08/18 10:16:41.0464 1764 Windows directory: C:\WINDOWS
2011/08/18 10:16:41.0464 1764 System windows directory: C:\WINDOWS
2011/08/18 10:16:41.0464 1764 Processor architecture: Intel x86
2011/08/18 10:16:41.0464 1764 Number of processors: 2
2011/08/18 10:16:41.0464 1764 Page size: 0x1000
2011/08/18 10:16:41.0464 1764 Boot type: Normal boot
2011/08/18 10:16:41.0464 1764 ================================================== ==============================
2011/08/18 10:16:41.0464 1764 Initialize success
2011/08/18 10:17:16.0764 1456 Can't init decryptor
2011/08/18 10:17:28.0937 2668 Can't init decryptor
2011/08/18 10:17:35.0594 3608 Can't init decryptor
2011/08/18 10:17:37.0766 0364 Can't get encrypted file path
2011/08/18 10:18:34.0147 3476 Can't init decryptor
2011/08/18 10:19:26.0493 1308 Can't init decryptor
2011/08/18 10:20:21.0745 1676 Can't init decryptor
2011/08/18 10:21:39.0998 0192 Deinitialize success
Дата обращения: 18.08.2011 10:38:59
Номер заявки: 107304
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отчет о карантине
18.08.2011 11:30:04 на зараженном компьютере были обнаружены следующие вредоносные файлы:
- C:\\WINDOWS\\system32\\hpbprtmon.dll - подозрительный, обрабатывается вирлабом
- размер: 180224 байт
- дата файла: 14.07.2011 20:28:10
- версия: "0.3.1282.589"
- копирайты: "© Copyright 2011 HPDC"
- C:\\Documents and Settings\\vezhenkov\\Local Settings\\Temp\\_uninst_76197603.bat - подозрительный, обрабатывается вирлабом
- размер: 197 байт
- дата файла: 18.08.2011 10:54:06
- C:\\Documents and Settings\\vezhenkov\\Application Data\\csrss.exe - Trojan-Dropper.Win32.Agent.fqzl
- размер: 52736 байт
- дата файла: 01.05.2011 15:38:34
- версия: "6.0.216.5"
- копирайты: "Copyright © 2010"
- детект других антивирусов: DrWEB 6.0: Зловред Trojan.DownLoader4.43046
- C:\\Documents and Settings\\vezhenkov\\Application Data\\Microsoft\\Internet Explorer\\Quick Launch\\Запуск Microsoft Office Outlook.lnk.EnCrYpTeD - подозрительный, обрабатывается вирлабом
- размер: 792 байт
- дата файла: 18.08.2011 1:31:48
- C:\\Documents and Settings\\vezhenkov\\Application Data\\Microsoft\\Internet Explorer\\Quick Launch\\Запустить обозреватель Internet Explorer.lnk.EnCrYpTeD - подозрительный, обрабатывается вирлабом
- размер: 815 байт
- дата файла: 18.08.2011 1:31:48
- C:\\Documents and Settings\\vezhenkov\\Главное меню\\Программы\\Автозагрузка\\Create virtual drive for Denwer.lnk.EnCrYpTeD - подозрительный, обрабатывается вирлабом
- размер: 889 байт
- дата файла: 18.08.2011 1:32:06
-