Показано с 1 по 12 из 12.

зашифрованы файлы [Trojan-Dropper.Win32.Dapato.cydu ] (заявка № 143028)

  1. #1
    Junior Member Репутация
    Регистрация
    31.07.2013
    Сообщений
    5
    Вес репутации
    16

    зашифрованы файлы [Trojan-Dropper.Win32.Dapato.cydu ]

    вчера обратились ко мне с просьбой о помощи - на почту пришло письмо из арбитражного суда (файл ARBITRAJNYISUD_INFOID40000043932.zip), и что не могут просмотреть вложение... прочитав форумы - как открыть файлы с расширением scr, так и не получилось открыть файл...
    картинка рабочего стола не менялась, с документами можно было нормально работать...
    сегодня включая комп обнаруживаю на экране открытый текстовый док-т (потом обнаружила его в автозагрузке). к сожалению сам документ удалила... но содержание примерно такое же как в теме http://virusinfo.info/showthread.php?t=142947 только это все не в картинке рабочего стола, а в текстовом документе... я в недоумении - вчера ж все работало... проверяю документы... те что на рабочем столе и в папке Мои документы - все перекодированы. к имени файла ничего не добавлено... просто не открываются... картинки - просто пустые, при открытии вордовских док-тов - выходит ошибка - "Преобразование файла - FineReader7.2003.dot". нажимаю отмена... если нажимаю ОК - выходит сообщение "Приложению Word не удалось запустить конвертер mswrd632"
    ворд грузится... новые файлы, которые создаю, вроде нормальные...

    похоже на эти темы
    http://virusinfo.info/showthread.php?t=142594
    http://virusinfo.info/showthread.php?t=142525

    сегодня просканировала комп cureit - найден троян и 7 угроз (файл cureit.png)...
    потом установила пробную версию Malwarebytes Anti-Malware. во первых - он начал постоянно выводить сообщение "Была предотвращена попытка доступа к вредоносному веб-сайту 111.111.111.111 Тип: исходящие"; иногда - "... веб-сайту 81.177.6.11" - не пойму что это означает... (лог MBAM-log-2013-07-31 (16-02-56).txt)

    ну и сканировала конечно и avz...
    Прикрепляю все логи и файлы...
    в общем, файлов у меня не так уж и много... обычно я храню нужные в других местах... а тут так получилось... даже не знаю, стоит ли тратить время на их восстановление или нет... но хочется хотя бы систему привести в порядок... чтоб не было никаких обращений на вредоносные сайты, чтоб ворд нормально открывался... а файлы... ну если поможете - будет просто супер! а если нет.... ну знать судьба такой...
    Изображения Изображения
    Вложения Вложения
    Последний раз редактировалось thyrex; 31.07.2013 в 19:42.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,461
    Вес репутации
    342
    Уважаемый(ая) usd, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,371
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Program Files\Common Files\symbols\lsass.exe','');
     DeleteFile('C:\Program Files\Common Files\symbols\lsass.exe','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Обновите базы AVZ

    Сделайте новые логи

    Пришлите зашифрованный файл небольшого размера + сообщите, какое ключевое слово просят сообщить
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    31.07.2013
    Сообщений
    5
    Вес репутации
    16
    а ничего не создалось...
    интернет отключился, скрип выполнился успешно (была кнопочка ОК)
    после комп перегрузился... и вышел синий экран смерти...
    нажала reset... загрузился в обычном режиме... но папки все те же самые... нового ничего не появилось... только в папке Quarantine появились (или обновились) файлы bcqr00001.ini и bcqr00002.ini...
    еще раз попробовать что ли?...

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,371
    Вес репутации
    3019
    Приступайте
    Цитата Сообщение от thyrex Посмотреть сообщение
    Обновите базы AVZ

    Сделайте новые логи

    Пришлите зашифрованный файл небольшого размера + сообщите, какое ключевое слово просят сообщить
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    31.07.2013
    Сообщений
    5
    Вес репутации
    16
    это которые "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" и "Скрипт сбора информации для раздела "Помогите!" virusinfo.info"?
    извините за тупизм... кучу форумов перечитала... не соображаю....
    можно оба сразу?

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,371
    Вес репутации
    3019
    Даже нужно
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    31.07.2013
    Сообщений
    5
    Вес репутации
    16
    новые логи

    - - - Добавлено - - -

    закодированный файл

    в документе из автозагрузки была фраза типа: " пиши мне на почту zlovredvreditel@yahoo.com сообщи мне на почту это слово-пароль: TEA без него мне будет трудно"...

    - - - Добавлено - - -

    еще само вложение, из-за которого все пошло (ARBITRAJNYISUD_INFOID40000043932.zip)...
    и на рабочем столе обнаружила файлик - bespl-vosst.rar не помню такого раньше... но открыть тоже не могу...
    архивы отправила через Загрузку карантина для анализа, т.к. здесь они не присоединялись....

    - - - Добавлено - - -

    еще вопрос такой...
    как вы думаете, имеет ли смысл отключать сообщение "Приложению Word не удалось запустить конвертер mswrd632", как описано вот тут - http://support.microsoft.com/kb/973904/ru?

    - - - Добавлено - - -

    да, и еще вот тут http://vk.com/wall-38665380_633967?offset=240 тоже много пострадавших... тема одна и та же
    Вложения Вложения

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,371
    Вес репутации
    3019
    Дешифратором для данной модификации пока никто не поделился
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    31.07.2013
    Сообщений
    5
    Вес репутации
    16
    Цитата Сообщение от thyrex Посмотреть сообщение
    Дешифратором для данной модификации пока никто не поделился
    столько людей пострадало...
    вот здесь http://vk.com/wall-38665380_633967?offset=240 на 14 странице поделились дешифратором... но только кодовое слово rsa... может можно что-то сделать из данного дешифратора?

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,371
    Вес репутации
    3019
    Увы, нельзя
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. \\arbitrajnyisud_infoid40000043932.zip - Trojan-Dropper.Win32.Dapato.cydu ( BitDefender: Gen:Variant.Zusy.46754 )


  • Уважаемый(ая) usd, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 22.07.2013, 18:36
    2. файлы в сетях паука ( зашифрованы файлы)
      От it_supp в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 23.03.2013, 16:33
    3. Ответов: 2
      Последнее сообщение: 06.02.2013, 09:28
    4. Ответов: 11
      Последнее сообщение: 10.11.2012, 15:44
    5. Зашифрованы файлы pdf, doc xls
      От krut в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 19.04.2012, 18:48

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00601 seconds with 17 queries