-
Junior Member
- Вес репутации
- 36
Зашифрованы и переименованы файлы. Добавлено [Trojan-Ransom.Win32.Cryakl.n
]
Пример наименования зашифрованного файла (исходное имя Инструкция на получение НД.doc):
Инструкция на получение НД.doc.id-{JKLNPQSSUVWXYABCDFFGIJKLNOOQRTTVWXYZ-25.06.2014 3@25@501082505}[email protected]
Зашифрованы не все файлы, а документы офиса, *.dbf, *.1cd и нек др. В конце каждого зашифрованного файла сигнатура {CRYPTENDBLACKDC}
В автозагрузку была добавлена строка запуска (уже удалил): c:\Users\Шеф\Program Files (x86)\RarLab\build.exe
В каталоге c:\Users\Шеф\Program Files (x86)\RarLab\ кроме файла Build.exe есть список зашифрованных файлов checkdata.dif и около 170 файлов с расширением rcb с примерно таким содержимым:
{21}
{23}
{78}
{30}
virusinfo_syscheck.ziphijackthis.log
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) vl_pan, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
c:\Users\Шеф\Program Files (x86)\RarLab\build.exe
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
-
-
Junior Member
- Вес репутации
- 36
1. Карантин отправил.
2. Лог Malwarebytes' Anti-Malware: mbam-log-2014-06-25 (19-06-14).txt.
Ничего не удалял, кроме строкового параметра из ветки реестра Run: Имя: "programma" значение: "c:\Users\Шеф\Program Files (x86)\RarLab\build.exe"
-
Trojan.Encoder.567
- Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите sitlog.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
- В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
- По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
- Прикрепите эти отчеты в вашей теме.
-
-
Junior Member
- Вес репутации
- 36
-
Логи в порядке. Если есть лицензия на антивирус DrWeb обращайтесь в их техподдержку.
-
-
Junior Member
- Вес репутации
- 36
Сообщение от
mike 1
Логи в порядке. Если есть лицензия на антивирус DrWeb обращайтесь в их техподдержку.
Замечательный ответ. Файлы можно расшифровать? Смысл наличия данного форума?
-
Файлы можно расшифровать?
Может и можно. С расшифровкой я вам сказал куда обращаться.
Смысл наличия данного форума?
Оказание помощи в лечении компьютера, но с расшифровкой мы не всем можем помочь.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\users\шеф\program files (x86)\rarlab\build.exe - Trojan-Ransom.Win32.Cryakl.n ( DrWEB: Trojan.Encoder.567 )
-