Показано с 1 по 2 из 2.

Trojan-Ransom.Win32.Xorist.cf (заявка №107304)

  1. #1
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Trojan-Ransom.Win32.Xorist.cf (заявка №107304)

    Пользователь обратился в сервис 911, указав на следующие проблемы в работе его компьютера:
    Вчера компьютер был заражён несколькими вирусами в том числе Trojan-Ransom.Win32.Xorist.cf.
    Сегодня произвёл полное сканирование и нашёл:
    Trojan.Win32.Swisyn.bezg
    Trojan.Win32.Agent.hvad
    Trojan-Dropper.Win32.Cidox.all
    Trojan-Ransom.Win32.Xorist.cf
    Trojan.Win32.Scar.enfo
    Trojan-Dropper.Win32.Cidox.adn
    Trojan-Ransom.Win32.Mbro.sr
    Trojan-Ransom.Win32.Xorist.cf
    Trojan-Downloader.Win32.Tiny.crm
    Trojan.Win32.Agent.hvaq

    Всё было успешно вылечено, но ночью Trojan-Ransom.Win32.Xorist.cf успел зашифровать файлы на жёстком диске.

    Пробовал XoristDecryptor.exe версия 2.1.4.0

    Вот его лог:

    2011/08/18 10:16:39.0448 1764 Trojan-Ransom.Win32.Xorist decryptor tool 2.1.4.0 Jul 31 2011 19:52:18
    2011/08/18 10:16:41.0464 1764 ================================================== ==============================
    2011/08/18 10:16:41.0464 1764 SystemInfo:
    2011/08/18 10:16:41.0464 1764
    2011/08/18 10:16:41.0464 1764 OS Version: 5.1.2600 ServicePack: 3.0
    2011/08/18 10:16:41.0464 1764 Product type: Workstation
    2011/08/18 10:16:41.0464 1764 ComputerName: INVISIBLE
    2011/08/18 10:16:41.0464 1764 UserName: user
    2011/08/18 10:16:41.0464 1764 Windows directory: C:\WINDOWS
    2011/08/18 10:16:41.0464 1764 System windows directory: C:\WINDOWS
    2011/08/18 10:16:41.0464 1764 Processor architecture: Intel x86
    2011/08/18 10:16:41.0464 1764 Number of processors: 2
    2011/08/18 10:16:41.0464 1764 Page size: 0x1000
    2011/08/18 10:16:41.0464 1764 Boot type: Normal boot
    2011/08/18 10:16:41.0464 1764 ================================================== ==============================
    2011/08/18 10:16:41.0464 1764 Initialize success
    2011/08/18 10:17:16.0764 1456 Can't init decryptor
    2011/08/18 10:17:28.0937 2668 Can't init decryptor
    2011/08/18 10:17:35.0594 3608 Can't init decryptor
    2011/08/18 10:17:37.0766 0364 Can't get encrypted file path
    2011/08/18 10:18:34.0147 3476 Can't init decryptor
    2011/08/18 10:19:26.0493 1308 Can't init decryptor
    2011/08/18 10:20:21.0745 1676 Can't init decryptor
    2011/08/18 10:21:39.0998 0192 Deinitialize success
    Дата обращения: 18.08.2011 10:38:59
    Номер заявки: 107304

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Отчет о карантине

    18.08.2011 11:30:04 на зараженном компьютере были обнаружены следующие вредоносные файлы:
    1. C:\\WINDOWS\\system32\\hpbprtmon.dll - подозрительный, обрабатывается вирлабом
      • размер: 180224 байт
      • дата файла: 14.07.2011 20:28:10
      • версия: "0.3.1282.589"
      • копирайты: "© Copyright 2011 HPDC"
    2. C:\\Documents and Settings\\vezhenkov\\Local Settings\\Temp\\_uninst_76197603.bat - подозрительный, обрабатывается вирлабом
      • размер: 197 байт
      • дата файла: 18.08.2011 10:54:06
    3. C:\\Documents and Settings\\vezhenkov\\Application Data\\csrss.exe - Trojan-Dropper.Win32.Agent.fqzl
      • размер: 52736 байт
      • дата файла: 01.05.2011 15:38:34
      • версия: "6.0.216.5"
      • копирайты: "Copyright © 2010"
      • детект других антивирусов: DrWEB 6.0: Зловред Trojan.DownLoader4.43046
    4. C:\\Documents and Settings\\vezhenkov\\Application Data\\Microsoft\\Internet Explorer\\Quick Launch\\Запуск Microsoft Office Outlook.lnk.EnCrYpTeD - подозрительный, обрабатывается вирлабом
      • размер: 792 байт
      • дата файла: 18.08.2011 1:31:48
    5. C:\\Documents and Settings\\vezhenkov\\Application Data\\Microsoft\\Internet Explorer\\Quick Launch\\Запустить обозреватель Internet Explorer.lnk.EnCrYpTeD - подозрительный, обрабатывается вирлабом
      • размер: 815 байт
      • дата файла: 18.08.2011 1:31:48
    6. C:\\Documents and Settings\\vezhenkov\\Главное меню\\Программы\\Автозагрузка\\Create virtual drive for Denwer.lnk.EnCrYpTeD - подозрительный, обрабатывается вирлабом
      • размер: 889 байт
      • дата файла: 18.08.2011 1:32:06


Похожие темы

  1. Ответов: 4
    Последнее сообщение: 10.06.2012, 19:49
  2. Trojan-ranson.win32.xorist.xorist.gu
    От Слава Красник в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 10.04.2012, 20:27
  3. Помогите вариация трояна Trojan-Ransom.Win32.Xorist
    От ktuhlu в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 22.03.2012, 12:57
  4. Trojan-Ransom.Win32.Xorist.fz
    От Dudeeldude в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 13.03.2012, 15:46

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00836 seconds with 19 queries