Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Вирус зашифровал файлы и добавил расширение SOS@TASMANIAN.COM_TA5 [HEUR:Trojan.Win32.Generic ] (заявка № 144353)

  1. #1
    Junior Member Репутация
    Регистрация
    23.08.2013
    Сообщений
    11
    Вес репутации
    17

    Вирус зашифровал файлы и добавил расширение SOS@TASMANIAN.COM_TA5 [HEUR:Trojan.Win32.Generic ]

    Добрый день! Очень прошу ВАС о помощи!!!
    Поймала какую-то бяку, увы не могу сказать точно когда. Вчера обнаружила, что 41 244 файла зашифрованы( в основном .jpg, .doc, так же много .xml, .rar, .zip, .pdf.), вирус добавил ко всем этим файлам расширение SOS@TASMANIAN.COM_TA5 . Не уверена, что вирус был в письме.
    -Никаких подозрительных архивов, документов НЕ ОТКРЫВАЛА.
    -Предупреждений об угрозе от пиратов НЕТ. (никаких файлов типа "ПРОЧТИ МЕНЯ", или jpg-ов на рабочем столе с требованиями оплаты -НИЧЕГО нет)
    -Прогнала несколькими антивирусниками(когда комп стал тормозить)-они поудаляли угрозы которые нашли.
    Проблема в том, что я не знаю где ИСХОДНИК, то есть с каким файлом был вирус. Возможно антивирусы его уже убили. Вся моя работа в этих фото, да и вся жизнь вообще..сами понимаете, файлов не 100, и даже не 1000...
    Мне очень нужна Ваша помощь! Это реально катастрофа. Лишь бы спасти эти файлы!
    С Уважением, Полина.

    hijackthis.log
    virusinfo_syscheck.zip
    virusinfo_syscure.zip

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) PolinaZ, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    23.08.2013
    Сообщений
    11
    Вес репутации
    17
    Поставила утилиту AnVir Task Manager. Он нашел любопытный процесс в автозагрузках, называется сие чудо
    1349265742.exe (путь C:\ProgramData\System\1349265742.exe)
    Возможно это он?

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\WINDOWS\sadrive32.exe','');
    QuarantineFile('L:\jhpm.exe','');
     QuarantineFile('C:\Program Files (x86)\DealPly\DealPlyUpdate.exe','');
     QuarantineFile('C:\Windows\winlogon.exe','');
     QuarantineFile('C:\Users\Компутер\AppData\Local\NVIDIA Corporation\Update\daemonupd.exe','');
     QuarantineFile('C:\Users\Компутер\AppData\Local\Google\Update\gupdate.exe','');
     QuarantineFile('C:\Users\F3D8~1\AppData\Local\Temp\1416615976.exe','');
     QuarantineFile('C:\ProgramData\System\1349265742.exe','');
     TerminateProcessByName('c:\windows\wnmasnr.exe');
     QuarantineFile('C:\Windows\Wnmasnr.exe','');
     SetServiceStart('Windanr', 4);
     DeleteService('Windanr');
     SetServiceStart('Windows Security Service', 4);
     DeleteService('Windows Security Service');
     TerminateProcessByName('c:\programdata\system32\sysdll32.exe');
     QuarantineFile('c:\programdata\system32\sysdll32.exe','');
     QuarantineFile('c:\windows\wnmasnr.exe','');
     DeleteFile('C:\Windows\Wnmasnr.exe','32');
     DeleteFile('C:\ProgramData\System\1349265742.exe','32');
     DeleteFile('C:\Users\F3D8~1\AppData\Local\Temp\1416615976.exe','32');
     DeleteFile('C:\Users\Компутер\AppData\Local\Google\Update\gupdate.exe','32');
     DeleteFile('C:\Users\Компутер\AppData\Local\NVIDIA Corporation\Update\daemonupd.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NvUpdService');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','DP');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DP');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1349265742');
     DeleteFile('C:\Windows\winlogon.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ConnectionUpdater');
     DeleteFile('C:\Program Files (x86)\DealPly\DealPlyUpdate.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\DealPlyUpdate','64');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. Это понравилось:


  7. #5
    Junior Member Репутация
    Регистрация
    23.08.2013
    Сообщений
    11
    Вес репутации
    17
    Всё выполнила. Вы получили карантин?
    Вот новые логи:
    hijackthis.log
    virusinfo_syscheck.zip
    virusinfo_syscure.zip

  8. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Пофиксите в HiJack
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
    F2 - REG:system.ini: Shell=
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - (no file)
    O2 - BHO: Ask Toolbar BHO - {4D594333-0076-A76A-76A7-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\MYC3\Passport.dll" (file missing)
    O2 - BHO: Update Timer - {963B125B-8B21-49A2-A3A8-E37092276531} - (no file)
    O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
    O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
    O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
    O4 - HKLM\..\Run: [NetworkSaver] C:\Windows\Temp\temp70.exe
    O4 - HKLM\..\Run: [ConnectionUpdater] C:\Windows\winlogon.exe
    O4 - HKLM\..\Run: [DP] C:\Users\F3D8~1\AppData\Local\Temp\1416615976.exe
    O4 - HKCU\..\Run: [NvUpdService] C:\Users\Компутер\AppData\Local\NVIDIA Corporation\Update\daemonupd.exe /app A50BBE12ACD5DC757F6718B2A7BC3284
    O4 - HKCU\..\Run: [Google Update] C:\Users\Компутер\AppData\Local\Google\Update\gupdate.exe /app A50BBE12ACD5DC757F6718B2A7BC3284
    O4 - HKCU\..\Run: [1349265742] C:\ProgramData\System\1349265742.exe
    O4 - HKCU\..\Run: [DP] C:\Users\F3D8~1\AppData\Local\Temp\1416615976.exe
    Сделайте новый лог
    Последний раз редактировалось thyrex; 24.08.2013 в 20:00.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #7
    Junior Member Репутация
    Регистрация
    23.08.2013
    Сообщений
    11
    Вес репутации
    17
    Пофиксила. Вот новый лог:
    hijackthis.log

  10. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    HiJack при выполнении фикса запускали от имени Администратора по правой кнопке мыши? Если нет, переделывайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #9
    Junior Member Репутация
    Регистрация
    23.08.2013
    Сообщений
    11
    Вес репутации
    17
    Да, от имени администратора, конечно!
    hijackthis.log

  12. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #11
    Junior Member Репутация
    Регистрация
    23.08.2013
    Сообщений
    11
    Вес репутации
    17
    Вот он:
    ComboFix.txt

  14. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    c:\windows\kb693923.exe проверьте на virustotal
    Ссылку на результат проверки сообщите
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #13
    Junior Member Репутация
    Регистрация
    23.08.2013
    Сообщений
    11
    Вес репутации
    17

  16. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Удаляйте и смените все пароли

    Еще раз лог HiJack сделайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #15
    Junior Member Репутация
    Регистрация
    23.08.2013
    Сообщений
    11
    Вес репутации
    17
    Простите, уточню: удалить этот файл? c:\windows\kb693923.exe ?
    Пароли поменять везде где только можно? с этого компьютера, или с другого?
    Лог сразу сделаю)

  18. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Цитата Сообщение от PolinaZ Посмотреть сообщение
    удалить этот файл? c:\windows\kb693923.exe ?
    Именно его

    Пароли сменить везде. Можно даже и с другого компьютера
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #17
    Junior Member Репутация
    Регистрация
    23.08.2013
    Сообщений
    11
    Вес репутации
    17
    Вот новый лог. смена паролей в процессе(их оказалось тааак много))
    hijackthis.log

  20. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Лог в порядке
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  21. #19
    Junior Member Репутация
    Регистрация
    23.08.2013
    Сообщений
    11
    Вес репутации
    17
    Так что же делать дальше? Файлы по-прежнему в зашифрованном состоянии...есть ли какая-то возможность из расшифровать?

  22. #20
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Ждать, что кто-то купит дешифратор. Или сделать это самой. Увы

    Удалите ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) PolinaZ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 10
      Последнее сообщение: 16.08.2013, 14:56
    2. Ответов: 1
      Последнее сообщение: 02.07.2013, 20:46
    3. Ответов: 8
      Последнее сообщение: 01.04.2012, 15:59
    4. Ответов: 2
      Последнее сообщение: 28.03.2012, 20:35
    5. Вирус зашифровал файлы и добавил расширение RN
      От александр62 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.02.2012, 13:40

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00110 seconds with 17 queries