Показано с 1 по 17 из 17.

Шифровальщик AMBA [not-a-virus:NetTool.Win32.Wasppace.l, HEUR:Trojan.Win32.Generic ] (заявка № 175885)

  1. #1
    Junior Member Репутация
    Регистрация
    16.06.2014
    Сообщений
    21
    Вес репутации
    36

    Шифровальщик AMBA [not-a-virus:NetTool.Win32.Wasppace.l, HEUR:Trojan.Win32.Generic ]

    Доброй ночи.
    Столкнулся с шифровальщиком AMBA все файлы стали с расширение AMBA.
    Текст сообщения
    "Внимание!
    Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
    Вся Ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована.
    Все зашифрованые файлы имеют расширение .AMBA
    Ни в коем случае не изменяйте файлы! И не используйте чужие дешифраторы, Вы можете потерять Ваши файлы навсегда.

    Напишите нам письмо на адрес [email protected] , чтобы узнать как получить дешифратор.

    Если мы Вам не ответили в течении 3 часов - повторите пересылку письма.

    В письмо вставьте текст из файла 'ПРОЧТИ_МЕНЯ.txt' или напишите номер - 075876
    В первом письме не прикрепляйте файлы для дешифровки. Все инструкции вы получите в ответном письме."

    Прикрепляю логи сканирования системы.
    Последний раз редактировалось wolf-200; 28.01.2015 в 08:15.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) wolf-200, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Версия Windows: 5.2.3790, Service Pack 2 "Microsoft Windows Server 2003" ; AVZ работает с правами администратора,AVZ запущен из терминальной сессии (RDP-Tcp#49295)
    Логи сделайте не через терминальную сессию.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. #4
    Junior Member Репутация
    Регистрация
    16.06.2014
    Сообщений
    21
    Вес репутации
    36
    загрузил новые логи в первое сообщение

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

    Код:
    F2 - REG:system.ini: Shell=explorer.exe, C:\Temp\SendTo\Temp\Adobe\Acrobat\10.0\acc32\ctfmon.exe
    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  7. #6
    Junior Member Репутация
    Регистрация
    16.06.2014
    Сообщений
    21
    Вес репутации
    36
    сделал всё по инструкции вот лог

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код:
      ;uVS v3.85 [http://dsrt.dyndns.org]
      ;Target OS: NTv5.2
      v385c
      breg
      
      zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1C\APPLICATION DATA\CTFMON.EXE
      delall %SystemDrive%\DOCUMENTS AND SETTINGS\1C\APPLICATION DATA\CTFMON.EXE
      zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALENA\APPLICATION DATA\CTFMON.EXE
      delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALENA\APPLICATION DATA\CTFMON.EXE
      zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\3.11.6.0_FULL\WASPPACER.EXE
      deldir %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\3.11.6.0_FULL
      zoo %SystemDrive%\DOCUMENTS AND SETTINGS\REC2\APPLICATION DATA\CTFMON.EXE
      delall %SystemDrive%\DOCUMENTS AND SETTINGS\REC2\APPLICATION DATA\CTFMON.EXE
      zoo %SystemDrive%\RECYCLE\RDPCLIP.EXE
      zoo %SystemDrive%\RECYCLE\S.BAT
      zoo %SystemDrive%\RECYCLE\WASPPACER.EXE
      zoo %SystemDrive%\RECYCLE\WASUB.EXE
      zoo %SystemDrive%\RECYCLER\WASPPACER.EXE
      zoo %SystemDrive%\RECYCLER\WINLOGON.EXE
      delall %SystemDrive%\RECYCLE\S.BAT
      delall %SystemDrive%\RECYCLE\WASPPACER.EXE
      delall %SystemDrive%\RECYCLE\WASUB.EXE
      delall %SystemDrive%\RECYCLER\WASPPACER.EXE
      delall %SystemDrive%\RECYCLE\RDPCLIP.EXE
      delall %SystemDrive%\RECYCLER\WINLOGON.EXE
      delall %SystemDrive%\TEMP\SENDTO\TEMP\ADOBE\ACROBAT\10.0\ACC32\CTFMON.EXE
      zoo %SystemRoot%\BIN\RESET\UDDISRW.EXE
      delall %SystemRoot%\BIN\RESET\UDDISRW.EXE
      zoo %SystemRoot%\PREINSTALL\UDDISRW.EXE
      delall %SystemRoot%\PREINSTALL\UDDISRW.EXE
      czoo
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.
    6. После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.


    Сделайте новый лог uVS.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  9. #8
    Junior Member Репутация
    Регистрация
    16.06.2014
    Сообщений
    21
    Вес репутации
    36
    Файл карантина отправил вот новый лог
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код:
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  11. #10
    Junior Member Репутация
    Регистрация
    16.06.2014
    Сообщений
    21
    Вес репутации
    36
    Произвёл сканирование прикладываю лог сканирования
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    MPK - Keylogger сами ставили себе?
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  13. #12
    Junior Member Репутация
    Регистрация
    16.06.2014
    Сообщений
    21
    Вес репутации
    36
    нет, ничего такого не ставил

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    В MBAM удалите все, кроме:

    Код:
    Обнаруженные файлы:  373
    C:\Documents and Settings\1c\Мои документы\Downloads\CorelDRAW Graphics Suite X6 16.1.0.843\x32_16.1.0.843_ru\Keymaker-CORE\keygen.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
    C:\Documents and Settings\1c\Мои документы\Downloads\Multi Password Recovery 1.2.7\Portable Multi Password Recovery.exe (Riskware.MPR) -> Действие не было предпринято.
    C:\Documents and Settings\1c\Мои документы\Downloads\Multi Password Recovery 1.2.7\Original\crack\MPR.exe (Riskware.MPR) -> Действие не было предпринято.
    C:\Documents and Settings\1c\Мои документы\Downloads\Multi Password Recovery 1.2.7\Original\install\MPRSetup.exe (PUP.SpyTool) -> Действие не было предпринято.
    C:\Documents and Settings\1c\Мои документы\Downloads\Multi Password Recovery v1.2.9 Final Ml_Rus\MPRSetup.exe (Riskware.MPR) -> Действие не было предпринято.
    C:\Documents and Settings\1c\Мои документы\Downloads\Multi Password Recovery v1.2.9 Final Ml_Rus\mpr_portable_original.exe (Riskware.MPR) -> Действие не было предпринято.
    C:\Documents and Settings\1c\Мои документы\Downloads\Multi Password Recovery v1.2.9 Final Ml_Rus\Fix\MPR.exe (Riskware.MPR) -> Действие не было предпринято.
    C:\Documents and Settings\1c\Мои документы\Downloads\Multi Password Recovery v1.2.9 Final Ml_Rus\Multi Password Recovery 1.2.9 RePack by KpoJIuK\Multi.Password.Recovery.v1.2.9.exe (Spyware.Password.HL) -> Действие не было предпринято.
    C:\Documents and Settings\1c\Мои документы\Downloads\VMware Workstation v10.0.1 Build 1379776 Final Eng_Rus\VMware.Workstation.v10.0.0.1295980.Keymaker-ZWT\keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
    C:\Documents and Settings\1c\Мои документы\Downloads\Zero Assumption Recovery 9.32 Silent install\Zero_Assumption_Recovery_moRaLIst.exe (Trojan.Dropped) -> Действие не было предпринято.
    C:\Documents and Settings\irina\Рабочий стол\TeamViewer RePack by SPecialiST [Unattended & Portable]\TeamViewer_RePack_Ru-En.exe (Trojan.Agent) -> Действие не было предпринято.
    C:\Program Files (x86)\Acronis\RecoveryMSSQLServerConsole\acronis_multi_keygen.exe (Trojan.Downloader) -> Действие не было предпринято.
    D:\1csetup\Drive(D)\shariy\install\Portable Multi Password Recovery.exe (Riskware.MPR) -> Действие не было предпринято.
    D:\1csetup\Drive(D)\shariy\install\Acronis_Recovery_for_MS_SQL_Server_v1.0.150\acronis_multi_keygen.exe (Trojan.Downloader) -> Действие не было предпринято.
    D:\1csetup\Drive(D)\shariy\install\Multi Password Recovery v1.2.9 Final Ml_Rus\MPRSetup.exe (Riskware.MPR) -> Действие не было предпринято.
    D:\1csetup\Drive(D)\shariy\install\Multi Password Recovery v1.2.9 Final Ml_Rus\mpr_portable_original.exe (Riskware.MPR) -> Действие не было предпринято.
    D:\1csetup\Drive(D)\shariy\install\Multi Password Recovery v1.2.9 Final Ml_Rus\Fix\MPR.exe (Riskware.MPR) -> Действие не было предпринято.
    D:\1csetup\Drive(D)\shariy\install\Multi Password Recovery v1.2.9 Final Ml_Rus\Multi Password Recovery 1.2.9 RePack by KpoJIuK\Multi.Password.Recovery.v1.2.9.exe (Spyware.Password.HL) -> Действие не было предпринято.
    D:\1csetup\Drive(D)\shariy\install\Original\install\MPRSetup.exe (PUP.SpyTool) -> Действие не было предпринято.
    D:\1csetup\Drive(D)\shariy\install\TeamViewer RePack by SPecialiST [Unattended & Portable]\TeamViewer_RePack_Ru-En.exe (Trojan.Agent) -> Действие не было предпринято.
    Смените все пароли.

    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  15. #14
    Junior Member Репутация
    Регистрация
    16.06.2014
    Сообщений
    21
    Вес репутации
    36
    вот новый лог
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Логи в порядке. С расшифровкой не поможем.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  17. #16
    Junior Member Репутация
    Регистрация
    16.06.2014
    Сообщений
    21
    Вес репутации
    36
    это печально

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 16
    • В ходе лечения обнаружены вредоносные программы:
      1. \ctfmon.exe._ead7d3131ad8a7db04cfa2c48b907a7fea4ee 992 - HEUR:Trojan.Win32.Generic ( BitDefender: Generic.Malware.SFdld.83B9BC93, AVAST4: Win32:Delf-AGT [Trj] )
      2. \wasppacer.exe._7610d64a21ef562b998f4298fd7219ef11 eafcdd - not-a-virus:NetTool.Win32.Wasppace.l ( DrWEB: Tool.Wasppacer.2 )
      3. \wasppacer.exe._9d9e3f01542fab3accc9a64d893782d328 6d5f3a - not-a-virus:NetTool.Win32.Wasppace.l ( AVAST4: Win32:Malware-gen )
      4. \wasub.exe._616f9dc26d5023b128b420996523574f25aee2 b7 - not-a-virus:NetTool.Win32.Wasppace.l ( DrWEB: Tool.Click.22 )


  • Уважаемый(ая) wolf-200, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Зашифрованы файлы .AMBA
      От uragan1984 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 30.01.2015, 19:08
    2. Зашифрованы файлы .AMBA
      От Filim@on в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 20.11.2014, 16:45
    3. Ответов: 5
      Последнее сообщение: 10.11.2014, 18:43
    4. Вирус-шифровальщик amba
      От serjikvz в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.09.2014, 12:08
    5. Вирус - шифровальщик AMBA
      От zager в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 01.04.2014, 20:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01066 seconds with 20 queries