-
Junior Member
- Вес репутации
- 38
Файлы зашифрованы [Trojan.Win32.Cossta.abkv
]
пришло письмо с высшего арбитражного суда с вложением с расширением .zip, после этого все файлы зашифрованы в расширения добавлена надпись "[email protected]_327", сменились обои, что "все файлы у меня пришли на мыло [email protected] твой id 327"hijackthis.logvirusinfo_syscure.zipvirusinfo_syscheck.zip
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) vmedkoll3, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте!
Закройте все программы
Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
TerminateProcessByName('c:\documents and settings\user\Главное меню\Программы\Автозагрузка\svchost.exe');
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\cleen.bat','');
QuarantineFile('c:\documents and settings\user\Главное меню\Программы\Автозагрузка\svchost.exe','');
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\bmp.bmp','32');
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\cleen.bat','32');
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\svchost.exe','32');
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\одуваньш.txt','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:
O4 - Startup: bmp.bmp
O4 - Startup: cleen.bat
O4 - Startup: svchost.exe
O4 - Startup: одуваньш.txt
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Сделайте лог полного сканирования MBAM (http://virusinfo.info/showthread.php?t=53070)
-
-
Junior Member
- Вес репутации
- 38
hijackthis.log virusinfo_syscheck.zip MBAM-log-2014-03-07 (09-31-02).txt
строк:
O4 - Startup: bmp.bmp
O4 - Startup: cleen.bat
O4 - Startup: svchost.exe
O4 - Startup: одуваньш.txt[/B]
Нет
-
-
-
Junior Member
- Вес репутации
- 38
-
Забыл в прошлый раз написать логи AVZ сделайте версией AVZ 4.43
-
-
Junior Member
- Вес репутации
- 38
-
Код:
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
Откройте любой файл в блокноте и покажите его содержимое.
-
-
Junior Member
- Вес репутации
- 38
ґя$Ъe‘FLЅ аэЯы!гF <
s *!Ю
; з ) C : \ P r o g r a m F i l e s \ H P \ H P L J U T \ H P L J U T S C H . e x e / U A S Y S T E M !>AB02;5=> N e t S c h e d u l e J o b A d d . 0 Э
яяяя УХqSИеј©(Ћ·Ao{ЉV:diќ*ЋaНЧIўѕ(чЄ=*¶хМF$}8раbs5п& пм=›ЏІPХл д]—”
вот такие "кракозябры" должны быть?
-
Это нормальные файлы. Логи в порядке. Дешифратором для этой версии пока никто не поделился.
-
-
Junior Member
- Вес репутации
- 38
остается ждать?Вы ответите в эту тему?
-
1. Остается либо ждать пока кто нибудь поделится с другими, либо самому купить дешифратор для этой версии.
2. У меня за день тем 20-30 разных набегает. Поэтому лучше будет если вы периодически будете спрашивать.
-
-
Junior Member
- Вес репутации
- 38
Спрашивать куда и где? Trojan.Win32.Cossta.abkv это для него дешифратор?
-
1. По поводу наличия дешифратора.
2. Нет это не сам шифратор. Сам шифратор удаляется с компьютера по окончанию шифрования файлов.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\user\главное меню\программы\автозагрузка\svchost.exe - Trojan.Win32.Cossta.abkv ( BitDefender: Gen:Variant.Zusy.84683, AVAST4: Win32:Trojan-gen )
-