Показано с 1 по 12 из 12.

Зашифрованы файлы REDBULL@PRIEST.COM_RE808 (заявка № 148413)

  1. #1
    Junior Member Репутация
    Регистрация
    28.07.2013
    Сообщений
    19
    Вес репутации
    17

    Зашифрованы файлы REDBULL@PRIEST.COM_RE808

    Зашифрованы файлы форматов .doc .docx .xlsx .xml .pdf .rtf .dt .key .jpg .mpeg .zip .7zip, в IE не скачиваются файлы ("Файл содержал вирус и был удалён")

    Прогонял Kaspersky Virus Removal Tool и Dr. Web Cure it в безопасном режиме, последний удалил несколько троянов и эксплойтов, возможно убил и этот вирус. В автозагрузке были 312.exe и africa.bmp которые должны были лежать в C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Wind ows\Start Menu\Programs\StartUp но я пробовал и в безопасном режиме и с помощью утилиты Касперского загружался с диска, но не нашёл ничего. Только в папке Roaming был этот рисунок, появившийся вместо обоев, вот его я удалил. Также в диспетчере видел непонятный процесс, погуглил и выяснил что это используется для отложенного запуска вирусни например.



    Примеры зашифрованных файлов http://yadi.sk/d/4A8xociWBpkq5
    Вложения Вложения
    Последний раз редактировалось gr33ny; 30.10.2013 в 12:01.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,459
    Вес репутации
    342
    Уважаемый(ая) gr33ny, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Users\greenpeace\AppData\Local\Temp\bbyjg.exe','');
     QuarantineFile('C:\Users\greenpeace\AppData\Local\Temp\3fcab.exe','');
     DeleteFile('C:\Users\greenpeace\AppData\Local\Temp\3fcab.exe','32');
     DeleteFile('C:\Windows\Tasks\0m6loh.job','64');
     DeleteFile('C:\Users\greenpeace\AppData\Local\Temp\bbyjg.exe','32');
     DeleteFile('C:\Windows\Tasks\gbou2r2ztr.job','64');
     DeleteFile('C:\Windows\system32\Tasks\gbou2r2ztr','64');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    28.07.2013
    Сообщений
    19
    Вес репутации
    17
    Скрипт выполнил, комп перезагрузился, но папка Quarantine пустая оказалась. Файл -> Просмотр карантина прога не видит никаких файлов.

    Попробовал снова запустить Оперу, на этот раз появилось сообщение об ошибке перед вылетом:
    Файлы, содержащие сведения об этой проблеме:
    C:\Users\greenpeace\AppData\Local\Temp\WERB115.tmp .WERInternalMetadata.xml
    C:\Users\greenpeace\AppData\Local\Temp\WERC83E.tmp .appcompat.txt
    C:\Users\greenpeace\AppData\Local\Temp\WERCACF.tmp .mdmp
    но я таких не нашёл там, и ещё такая непонятная хрень:


    virusinfo_syscheck.ziphijackthis.log

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Плохого не видно

    Дешифратором пока никто не поделился
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    28.07.2013
    Сообщений
    19
    Вес репутации
    17
    Но IE так и не сохраняет файлы. Вот тут вы помогли такую же проблему решить http://virusinfo.info/showthread.php?t=142214

    И ещё с прошлого раза когда я обращался за помощью, так и не смог найти решение проблем с Защитником и брандмауэром которые с тех пор не работают, а также не знаю что сделать чтобы виндосовский проводник распаковывал .zip как раньше. Прошлый хелпер зашёл в тупик, может у вас какие-нибудь идеи будут.. Вот тема http://virusinfo.info/showthread.php?t=142802

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Сделайте лог TDSSkiller
    Цитата Сообщение от gr33ny Посмотреть сообщение
    В автозагрузке были 312.exe
    В карантине CureIt найти можете?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    28.07.2013
    Сообщений
    19
    Вес репутации
    17
    А я просто просканировал и удалил её потом, утилиту в смысле :s
    Вложения Вложения

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    28.07.2013
    Сообщений
    19
    Вес репутации
    17
    Готово.

    Так, похоже что все вышеупомянутые проблемы исчезли и всё работает как надо) Только теперь на дисках появилась папка корзины $RECYCLE.BIN и ещё некоторые которых не было, их не будет после удаления КомбоФикса?

    И что же насчёт дешифратора? Если он появится сюда в тему кто-нибудь напишет, или мне нужно периодически спрашивать где-то?
    Вложения Вложения
    Последний раз редактировалось gr33ny; 05.11.2013 в 14:05.

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Удалите ComboFix

    Цитата Сообщение от gr33ny Посмотреть сообщение
    Только теперь на дисках появилась папка корзины $RECYCLE.BIN и ещё некоторые которых не было, их не будет после удаления КомбоФикса?
    Останутся
    Самим скрывать их показ нужно будет
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    28.07.2013
    Сообщений
    19
    Вес репутации
    17
    Цитата Сообщение от thyrex Посмотреть сообщение
    [url="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/url
    Что-то не получилось. Набрал ComboFix /Unistall как на картинке, но он заново просто начал сканировать.
    Цитата Сообщение от thyrex Посмотреть сообщение
    Останутся
    Самим скрывать их показ нужно будет
    Как? У меня до этого стояло показывать скрытые файлы и папки, но их не было видно.

Похожие темы

  1. Зашифрованы файлы REDBULL@PRIEST.COM_RB343
    От alexandrvv в разделе Помогите!
    Ответов: 18
    Последнее сообщение: 07.11.2013, 17:13
  2. Ответов: 11
    Последнее сообщение: 31.10.2013, 20:34
  3. Зашифрованы файлы REDBULL@PRIEST.COM_RB309
    От etalcom в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 22.10.2013, 21:45
  4. Все файлы зашифровались REDBULL@PRIEST.COM_RB329
    От Lexapk в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 17.10.2013, 22:07
  5. Ответов: 8
    Последнее сообщение: 16.10.2013, 21:11

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00363 seconds with 17 queries