Показано с 1 по 8 из 8.

Шифровальщик drunksantaru@yahoo.com [Worm.Win32.Luder.aotr, , Trojan-Dropper.Win32.Dapato.dibv ] (заявка № 152165)

  1. #1
    Junior Member Репутация
    Регистрация
    25.12.2013
    Сообщений
    7
    Вес репутации
    12

    Шифровальщик drunksantaru@yahoo.com [Worm.Win32.Luder.aotr, , Trojan-Dropper.Win32.Dapato.dibv ]

    Здравствуйте,
    Помогите пожалуйста, компьютер заражен шифровальщиком drunksantaru@yahoo,com, идентификатор S4. Буду рад, если можно вылечить без потери данных.
    Спасибо большое за помощь.


    Вложения:
    Архив с двумя зашифрованными .docx и .jpg файлами
    Последний раз редактировалось TERWe; 25.12.2013 в 18:18.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,269
    Вес репутации
    332
    Уважаемый(ая) TERWe, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Это понравилось:


  5. #3
    Junior Member Репутация
    Регистрация
    25.12.2013
    Сообщений
    7
    Вес репутации
    12
    Хелперы, я готов уже пожертвовать вам некую сумму, сделать аванс, только разблокируйте его пожалуйста.

    Сегодня вот проверил с помощью Dr.Web CureIt.
    Вот что он выдал:
    Безымянный.JPG
    ... может как-то поможет.

    - - - Добавлено - - -

    Еще раз выложил самые первые логи по правилам (в первый раз не получалось)
    Вложения Вложения
    Последний раз редактировалось TERWe; 26.12.2013 в 17:39.

  6. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    92,912
    Вес репутации
    2965
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     DelCLSID('{28ABC5C0-4FCB-33CF-AAX5-35GX1C642122}');
     QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Fixer32.exe','');
     QuarantineFile('C:\WINDOWS\yWdrive32.exe','');
     QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-13259\proxzy129.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\winrar.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\ScreenSaverPro.scr','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Hpouob.exe','');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\zricrqdxrjdproutrja.exe','');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\ofvocamfypituqvtqh.exe','');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\bvokbcrnjdznrqyzztmiz.exe','');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\bvokbcrnjdznrqyzztmiz.exe','32');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\ofvocamfypituqvtqh.exe','32');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\zricrqdxrjdproutrja.exe','32');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Hpouob.exe','32');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\ScreenSaverPro.scr','32');
     DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\winrar.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','winrar');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','Screen Saver Pro 3.1');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','Hpouob');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run-','tdmyfwbnzjv');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','qblygyerepch');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','ofvocamfypituqvtqh');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','proxzy0229');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','proxzy0229');
     DeleteFile('C:\WINDOWS\system32\csrcs.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run-','Microsoft Driver Setup');
     DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Fixer32.exe','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. Это понравилось:


  8. #5
    Junior Member Репутация
    Регистрация
    25.12.2013
    Сообщений
    7
    Вес репутации
    12
    Загрузил скрипт AVZ, начался сам процесс, позже появилось такое окно:
    suCvzDM-tCs.jpg

    - - - Добавлено - - -

    со второго раза все прошло вроде нормально, без экрана смерти
    карантин выложил, сейчас идет скан MBAM. позже скину

    - - - Добавлено - - -

    логи AVZ и MBAM
    Вложения Вложения
    Последний раз редактировалось TERWe; 27.12.2013 в 22:04.

  9. #6
    Junior Member Репутация
    Регистрация
    25.12.2013
    Сообщений
    7
    Вес репутации
    12
    как я понимаю на данный момент мы просто удаляем сам вирус + другие вирусы (чистим систему полностью).
    а расшифровать файлы не получиться, то есть они, грубо говоря, потеряны.

    я правильно ситуацию понимаю?

  10. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    92,912
    Вес репутации
    2965
    Удалите в МВАМ все, кроме
    Код:
    HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. Это понравилось:


  12. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    950

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 24
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\admin\application data\microsoft\hpouob.exe - Worm.Win32.Luder.aotr ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.GenericKD.996896, AVAST4: Win32:Downloader-TIB [Trj] )
      2. c:\documents and settings\admin\application data\screensaverpro.scr - Worm.Win32.Luder.aotr ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.GenericKD.996896, AVAST4: Win32:Downloader-TIB [Trj] )
      3. c:\documents and settings\admin\local settings\application data\winrar.exe - Trojan-Dropper.Win32.Dapato.dibv ( BitDefender: Gen:Variant.Zusy.71849, AVAST4: Win32:Malware-gen )
      4. c:\recycler\s-1-5-21-0243556031-888888379-781863308-13259\proxzy129.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) TERWe, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Шифровальщик drunksantaru@yahoo.com с кодом s3
      От sbur в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 20.12.2013, 18:39
    2. Шифровальщик antipolicay@yahoo.com
      От psyshit в разделе Шифровальщики
      Ответов: 0
      Последнее сообщение: 09.12.2013, 00:32
    3. Помогите, шифровальщик drunksantaru@yahoo.com
      От Alexwinch в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.11.2013, 22:46
    4. Шифровальщик drunksantaru@yahoo.com
      От Фёдор12 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 19.11.2013, 23:15
    5. Шифровальщик с почтой zlovredvreditel@yahoo.com
      От thyrex в разделе Шифровальщики
      Ответов: 8
      Последнее сообщение: 15.08.2013, 12:28

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00427 seconds with 18 queries