вчера обратились ко мне с просьбой о помощи - на почту пришло письмо из арбитражного суда (файл ARBITRAJNYISUD_INFOID40000043932.zip), и что не могут просмотреть вложение... прочитав форумы - как открыть файлы с расширением scr, так и не получилось открыть файл...
картинка рабочего стола не менялась, с документами можно было нормально работать...
сегодня включая комп обнаруживаю на экране открытый текстовый док-т (потом обнаружила его в автозагрузке). к сожалению сам документ удалила... но содержание примерно такое же как в теме http://virusinfo.info/showthread.php?t=142947 только это все не в картинке рабочего стола, а в текстовом документе... я в недоумении - вчера ж все работало... проверяю документы... те что на рабочем столе и в папке Мои документы - все перекодированы. к имени файла ничего не добавлено... просто не открываются... картинки - просто пустые, при открытии вордовских док-тов - выходит ошибка - "Преобразование файла - FineReader7.2003.dot". нажимаю отмена... если нажимаю ОК - выходит сообщение "Приложению Word не удалось запустить конвертер mswrd632"
ворд грузится... новые файлы, которые создаю, вроде нормальные...
сегодня просканировала комп cureit - найден троян и 7 угроз (файл cureit.png)...
потом установила пробную версию Malwarebytes Anti-Malware. во первых - он начал постоянно выводить сообщение "Была предотвращена попытка доступа к вредоносному веб-сайту 111.111.111.111 Тип: исходящие"; иногда - "... веб-сайту 81.177.6.11" - не пойму что это означает... (лог MBAM-log-2013-07-31 (16-02-56).txt)
ну и сканировала конечно и avz...
Прикрепляю все логи и файлы...
в общем, файлов у меня не так уж и много... обычно я храню нужные в других местах... а тут так получилось... даже не знаю, стоит ли тратить время на их восстановление или нет... но хочется хотя бы систему привести в порядок... чтоб не было никаких обращений на вредоносные сайты, чтоб ворд нормально открывался... а файлы... ну если поможете - будет просто супер! а если нет.... ну знать судьба такой...
Последний раз редактировалось thyrex; 31.07.2013 в 20:42.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) usd, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files\Common Files\symbols\lsass.exe','');
DeleteFile('C:\Program Files\Common Files\symbols\lsass.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Пришлите зашифрованный файл небольшого размера + сообщите, какое ключевое слово просят сообщить
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
а ничего не создалось...
интернет отключился, скрип выполнился успешно (была кнопочка ОК)
после комп перегрузился... и вышел синий экран смерти...
нажала reset... загрузился в обычном режиме... но папки все те же самые... нового ничего не появилось... только в папке Quarantine появились (или обновились) файлы bcqr00001.ini и bcqr00002.ini...
еще раз попробовать что ли?...
это которые "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" и "Скрипт сбора информации для раздела "Помогите!" virusinfo.info"?
извините за тупизм... кучу форумов перечитала... не соображаю....
можно оба сразу?
в документе из автозагрузки была фраза типа: " пиши мне на почту [email protected] сообщи мне на почту это слово-пароль: TEA без него мне будет трудно"...
- - - Добавлено - - -
еще само вложение, из-за которого все пошло (ARBITRAJNYISUD_INFOID40000043932.zip)...
и на рабочем столе обнаружила файлик - bespl-vosst.rar не помню такого раньше... но открыть тоже не могу...
архивы отправила через Загрузку карантина для анализа, т.к. здесь они не присоединялись....
- - - Добавлено - - -
еще вопрос такой...
как вы думаете, имеет ли смысл отключать сообщение "Приложению Word не удалось запустить конвертер mswrd632", как описано вот тут - http://support.microsoft.com/kb/973904/ru?
- - - Добавлено - - -
да, и еще вот тут http://vk.com/wall-38665380_633967?offset=240 тоже много пострадавших... тема одна и та же
Дешифратором для данной модификации пока никто не поделился
столько людей пострадало...
вот здесь http://vk.com/wall-38665380_633967?offset=240 на 14 странице поделились дешифратором... но только кодовое слово rsa... может можно что-то сделать из данного дешифратора?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Сообщение от thyrex
