-
Junior Member
- Вес репутации
- 58
Вот и мы подцепили эту заразу [email protected]_OS5g [Trojan-Ransom.Win32.Rakhni.ee
]
Добрый день, файлы все зашифрованы word xls jpg pdf + прорвался на сервак, там в расшаренной папке тоже часть зашифровал файлов.
Почитал про этот вирус, но к сожалению не нашел файла куда им писать чтоб выслали дешифровщик, файлов куча. По идее должен быть на рабочем столе, но ничего не нашел
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) tr0nik, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте! А система ваша дырявая как решето.
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFileF('C:\Documents and Settings\У\Application Data\jzbmetiojg', '*.exe', true, ' ', 0, 0);
QuarantineFile('C:\WINDOWS\system32\machineupper32.exe','');
DeleteFile('C:\WINDOWS\system32\machineupper32.exe','32');
RegKeyResetSecurity('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32');
DeleteFile('C:\Documents and Settings\У\Application Data\jzbmetiojg\gdzvmruljgacn.html','32');
DeleteFileMask('C:\Documents and Settings\У\Application Data\jzbmetiojg', '*', true, ' ');
DeleteDirectory('C:\Documents and Settings\У\Application Data\jzbmetiojg');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Код:
O4 - HKCU\..\Policies\Explorer\Run: [Windows Debugger 32] C:\WINDOWS\system32\machineupper32.exe
Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
-
-
Junior Member
- Вес репутации
- 58
Карантин отправил, файлы логов во вложении
-
Выполните скрипт в AVZ:
Код:
begin
QuarantineFile('C:\System Volume Information\_restore{103F4CFA-FC65-4B0B-B3CB-16EF457D34AD}\RP852\A0102229.exe','');
QuarantineFile('C:\Documents and Settings\У\Local Settings\Temp\machineupper32.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
Код:
Обнаруженные параметры в реестре: 1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent)
Обнаруженные файлы: 7
C:\Documents and Settings\У\Local Settings\Temp\machineupper32.exe (Trojan.Crypt.NKN) -> Действие не было предпринято.
C:\Documents and Settings\У\Application Data\pidloc.txt (Malware.Trace.E) -> Действие не было предпринято.
C:\Documents and Settings\У\Application Data\pid.txt (Malware.Trace.E) -> Действие не было предпринято.
Последний раз редактировалось mike 1; 26.11.2014 в 18:01.
Причина: Карантин
-
-
Junior Member
- Вес репутации
- 58
AVZ выдает какие-то ошибки, или это нормально? при создании карантина. То что получилось прикрепил virus.zip
Файл успешно помещен в карантин (C:\System Volume Information\_restore{103F4CFA-FC65-4B0B-B3CB-16EF457D34AD}\RP852\A0102229.exe)
Ошибка [2, QUARANTINEFILE]
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\У\Local Settings\Temp\machineupper32.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\У\Local Settings\Temp\machineupper32.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка [2, QUARANTINEFILE]
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
-
В MBAM записи удаляйте. C расшифровкой не поможем. У DrWeb примерно в 90% возможна расшифровка [email protected] так что пишите в их техподдержку.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\system volume information\_restore{103f4cfa-fc65-4b0b-b3cb-16ef457d34ad}\rp852\a0102229.exe - Trojan-Ransom.Win32.Rakhni.ee ( DrWEB: Trojan.Encoder.398, BitDefender: Trojan.GenericKD.1877273, AVAST4: Win32:Malware-gen )
-