-
Junior Member
- Вес репутации
- 41
Прошу посмотреть подозрительный файл в формате .cpl [Trojan-Banker.Win32.Agent.jwm
]
Приветствую участников форума,
по адресам электронной почты юр.лиц (лично знаком с 3 подтверждениями) прошла рассылка якобы постановления МВД,
zip архив содержал единственный файл "постановление.cpl", комплексный веб антивирус угрозы в нём не видит, открыв через блокнот видны упоминания реестра и программы входа в систему (userinit и иже с ними), декомпилировать его или ещё каким-то образом воздействовать, к сожалению, образования не хватает.
Чего можно от него ждать?
Файл во вложении.
Заранее спасибо.
Последний раз редактировалось thyrex; 23.03.2013 в 08:56.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) cdtj, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Скорее всего файл шифровальщика
Запакуйте cpl-файл с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 41
судя по названию темы вирус идентифицирован?
посоветуете что-либо по устранению?
-
Trojan-Banker.Win32.Agent.jwm вредоносная программа, осуществляющая кражу паролей от платежных систем. Чтобы проверить ваш компьютер пришлите три отчета по правилам.
-
-
Junior Member
- Вес репутации
- 41
virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.log
Вложения добавлены. Похоже что неприятель прячется под именем:
"C:\Users\mama\AppData\Local\temp\updhost.exe" .
-
> Выполните скрипт в AVZ:
Код:
BEGIN
ClearQuarantine;
IF NOT IsWOW64 THEN
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
TerminateProcessByName('c:\users\mama\appdata\local\temp\updhost.exe');
QuarantineFile('C:\Users\mama\AppData\Local\Temp\updhost.exe','');
DeleteFile('C:\Users\mama\AppData\Local\Temp\updhost.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','updhost');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('SCU',2,2,false);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
END.
После выполнения скрипта компьютер будет перезагружен.
> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.
> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.
_________________
> как выполнить скрипт в AVZ
-
-
Junior Member
- Вес репутации
- 41
спасибо! передал инструкции пострадавшим,
а получить информацию о спарсенных данных можно как-нибудь?
-
К сожалению, нет. Поэтому лучше сменить все пароли.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \\постановление.cpl - Trojan-Banker.Win32.Agent.jwm ( DrWEB: BackDoor.Siggen.51707 )
-