Показано с 1 по 10 из 10.

Зашифрованы файлы jpg, txt [Trojan-Clicker.BAT.Agent.an, Trojan-Ransom.Win32.Blocker.ggmj ] (заявка № 173428)

  1. #1
    Junior Member Репутация
    Регистрация
    24.12.2014
    Сообщений
    5
    Вес репутации
    11

    Зашифрованы файлы jpg, txt [Trojan-Clicker.BAT.Agent.an, Trojan-Ransom.Win32.Blocker.ggmj ]

    После неудачного скачивания программы у файлов появилось расширение AES256. Расшифровать предлагают через онлайн консультанта и везде появляются txt файлы ВНИМАНИЕ ОТКРОЙ МЕНЯ.
    Браузеры перестали нормльно работать. появляется реклама, либо они совсем не открываются. Скоро все файлы заразит и видео, и аудио, и doc.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,461
    Вес репутации
    342
    Уважаемый(ая) zameroon, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Documents and Settings\All Users\Application Data\srtserv\exspress.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\runWIN.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\YandexBrowser\Application\browser.exe.bat','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\runWIN\Update.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Mail.RU NewGamesT\Encrypt.exe','');
     QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\PC Suite\PCSuiteXpers.exe','');
     QuarantineFile('C:\DOCUME~1\ALLUSE~1\msfxyy.exe','');
     DeleteFile('C:\DOCUME~1\ALLUSE~1\msfxyy.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','2685794057');
     DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\PC Suite\PCSuiteXpers.exe','32');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Mail.RU NewGamesT\Encrypt.exe','32');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\runWIN\Update.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2685794057');
     DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\YandexBrowser\Application\browser.exe.bat','32');
     DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\_uninst_18134778.bat','32');
     DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\_uninst_setup_9.0.0.722_19.05.2011_14-30.exe.bat','32');
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\runWIN.exe','32');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\exspress.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','srtserv');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
    DeleteFileMask('C:\Documents and Settings\Admin\Application Data\runWIN', '*', true);
    DeleteDirectory('C:\Documents and Settings\Admin\Application Data\runWIN');
    DeleteFileMask('C:\Documents and Settings\Admin\Application Data\Mail.RU NewGamesT', '*', true);
    DeleteDirectory('C:\Documents and Settings\Admin\Application Data\Mail.RU NewGamesT');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Сделайте логи RSIT
    Сделайте такой лог
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    24.12.2014
    Сообщений
    5
    Вес репутации
    11
    Вот все логи
    Вложения Вложения

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
    • Распакуйте архив с утилитой в отдельную папку.
    • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке


    • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    • Прикрепите этот отчет к своему следующему сообщению.


    Поместите в карантин МВАМ только
    Код:
    Registry Keys: 2
    PUP.Optional.Conduit, HKLM\SOFTWARE\CLASSES\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}, , [261e561097e58caab82ce6495fa16799], 
    PUP.Optional.PriceGong.A, HKU\S-1-5-21-602162358-1292428093-839522115-500-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\PriceGong, , [d56f471f7efe181ef5abee763fc4956b], 
    
    Registry Values: 3
    PUM.LowRiskFileTypes, HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LowRiskFileTypes, .zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;, , [74d0d78fe29adf5790e03f2d47bcd828]
    PUM.LowRiskFileTypes, HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LowRiskFileTypes, .zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;, , [91b32145b0cc6acccca4a0ccab5836ca]
    PUM.LowRiskFileTypes, HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LowRiskFileTypes, .zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;, , [3b0982e476060531f47c9fcde61d34cc]
    
    Registry Data: 2
    Hijack.StartPage, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Default_Page_URL, http://www.smaxi.net, Good: (http://www.google.com), Bad: (http://www.smaxi.net),,[0a3a4620d8a45adc772914656a9b7e82]
    Hijack.StartPage, HKU\S-1-5-21-602162358-1292428093-839522115-500-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Default_Page_URL, http://www.smaxi.net, Good: (http://www.google.com), Bad: (http://www.smaxi.net),,[7fc53b2b8defbb7b2b77accd40c51ee2]
    
    Folders: 2
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data, , [0242085ee09c7db9038bc95f6c9756aa], 
    
    Files: 88
    PUP.Optional.ClientConnect, C:\Documents and Settings\Admin\Local Settings\Application Data\Conduit\Community Alerts\Alert.dll, , [56eeaeb8e99354e25bb9338c42bfa45c], 
    PUP.Optional.ClientConnect, C:\Documents and Settings\Admin\Local Settings\Application Data\Conduit\CT2396973\MadLen.uCoz.coMAutoUpdateHelper.exe, , [3311e48284f89b9bd83cdee1db263dc3], 
    PUP.Optional.ClientConnect, C:\Documents and Settings\Admin\Local Settings\Application Data\MadLen.uCoz.coM\hk64tbMad0.dll, , [2d1797cf9ce0d75fbe568a35d22f2ed2], 
    PUP.Optional.ClientConnect, C:\Documents and Settings\Admin\Local Settings\Application Data\MadLen.uCoz.coM\hktbMad0.dll, , [e55fdb8bf9830432ca4af0cf3ec3fc04], 
    PUP.Optional.ClientConnect, C:\Documents and Settings\Admin\Local Settings\Application Data\MadLen.uCoz.coM\ldrtbMad0.dll, , [bf85e680b2cac47281938d3256ab9c64], 
    PUP.Optional.ClientConnect, C:\Documents and Settings\Admin\Local Settings\Application Data\MadLen.uCoz.coM\prxtbMad0.dll, , [192b8dd9d5a7b581f71dfbc4f40d7d83], 
    PUP.Optional.ClientConnect, C:\Documents and Settings\Admin\Local Settings\Application Data\MadLen.uCoz.coM\tbMad0.dll, , [073d8cdab6c6999d37dd08b732cf09f7], 
    PUP.Optional.ClientConnect, C:\Documents and Settings\Admin\Local Settings\Application Data\MadLen.uCoz.coM\tbMad1.dll, , [71d3e185720a04320e0668578d7440c0], 
    PUP.Optional.Conduit, C:\Program Files\Conduit\Community Alerts\Alert1.dll, , [261e561097e58caab82ce6495fa16799], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\1.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\34556.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\a.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\b.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\c.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\d.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\e.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\f.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\g.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\h.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\i.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\j.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\k.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\l.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\m.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\n.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\o.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\p.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\q.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\r.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\s.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\t.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\u.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\v.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\w.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\wlu.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\x.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\y.txt, , [0242085ee09c7db9038bc95f6c9756aa], 
    PUP.Optional.PriceGong.A, C:\Documents and Settings\Admin\Application Data\PriceGong\Data\z.txt, , [0242085ee09c7db9038bc95f6c9756aa],
    Удалите вручную
    C:\Documents and Settings\Admin\Application Data\Microsoft DB
    C:\Documents and Settings\Admin\Application Data\tor
    C:\Program Files\Common Files\Baidu
    C:\Documents and Settings\All Users\Application Data\Baidu
    C:\Program Files\baidu
    C:\Documents and Settings\Admin\Application Data\GemWare
    C:\Documents and Settings\Admin\Application Data\Tor Project
    C:\Documents and Settings\Admin\Application Data\Browsers
    C:\Documents and Settings\Admin\Application Data\ICL
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. Это понравилось:


  8. #6
    Junior Member Репутация
    Регистрация
    24.12.2014
    Сообщений
    5
    Вес репутации
    11
    В карантин добавила все файлы, вот новый лог
    Вложения Вложения

  9. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Для расшифровки пробуйте http://support.kaspersky.ru/viruses/disinfection/10556
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #8
    Junior Member Репутация
    Регистрация
    24.12.2014
    Сообщений
    5
    Вес репутации
    11
    отлично! спасибо! только почему-то не все файлы расшифровал. Нужно ещё раз попробовать? или забыть о них?

  11. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Пришлите в архиве несколько файлов, которые не расшифровались
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 16
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\admin\local settings\application data\yandex\yandexbrowser\application\browser.exe. bat - Trojan-Clicker.BAT.Agent.an ( DrWEB: BAT.StartPage.42, AVAST4: BV:Runner-AN [Trj] )
      2. c:\docume~1\admin\applic~1\pc suite\pcsuitexpers.exe - Trojan-Ransom.Win32.Blocker.ggmj ( DrWEB: BackDoor.Andromeda.22, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) zameroon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 18
      Последнее сообщение: 29.12.2014, 15:56
    2. Ответов: 9
      Последнее сообщение: 23.07.2014, 14:55
    3. Ответов: 2
      Последнее сообщение: 03.06.2014, 18:12
    4. Ответов: 11
      Последнее сообщение: 22.03.2014, 22:08
    5. Ответов: 7
      Последнее сообщение: 22.07.2013, 18:36

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01611 seconds with 17 queries