Показано с 1 по 17 из 17.

Шифровальщик [Trojan.MSIL.Agent.liy ] (заявка № 186073)

  1. #1
    Junior Member Репутация
    Регистрация
    25.06.2015
    Сообщений
    10
    Вес репутации
    10

    Шифровальщик [Trojan.MSIL.Agent.liy ]

    Доброго времени суток, получили письмо с проверкой налог. отчетности, теперь зашифрованы файлы word-a и exel-я. Заранее спасибо. Прикрепляю зашифрованные файлы. Фалы с расширением .vault
    Вложения Вложения
    Последний раз редактировалось Teogen; 26.06.2015 в 10:34. Причина: дополнение

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,459
    Вес репутации
    342
    Уважаемый(ая) Teogen, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

    Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
     QuarantineFile('C:\Program Files\fcs.exe','');
     QuarantineFile('C:\Temp\sys','');
     QuarantineFile('C:\Documents and Settings\Башмашникова.SFS\viqigwazijul.exe','');
     QuarantineFile('C:\Documents and Settings\Башмашникова.SFS\manajanorma.exe','');
     QuarantineFile('C:\Documents and Settings\Башмашникова.SFS\Application Data\Ukam\cyex.exe','');
     QuarantineFile('C:\Documents and Settings\Башмашникова.SFS\Application Data\Nevosoft.Games\drm.exe','');
     QuarantineFile('C:\Documents and Settings\Башмашникова.SFS\Application Data\Doeq\huarvur.exe','');
     QuarantineFile('C:\DOCUME~1\ALLUSE~1\msnznt.exe','');
     QuarantineFile('C:\DOCUME~1\ALLUSE~1\msied.exe','');
     DeleteService('BDSGRTP');
     DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.602\BaiduProtect.exe','32');
     DeleteFile('C:\DOCUME~1\ALLUSE~1\msied.exe','32');
     DeleteFile('C:\DOCUME~1\ALLUSE~1\msnznt.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','344121009');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','615575176');
     DeleteFile('C:\Documents and Settings\Башмашникова.SFS\Application Data\Doeq\huarvur.exe','32');
     DeleteFile('C:\Documents and Settings\Башмашникова.SFS\Application Data\Nevosoft.Games\drm.exe','32');
     DeleteFile('C:\Documents and Settings\Башмашникова.SFS\Application Data\Ukam\cyex.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Cyex','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\drm.exe','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{44B5340F-D7F0-CA33-8758-AAD337DDEE16}','command');
     DeleteFile('C:\Documents and Settings\Башмашникова.SFS\manajanorma.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\manajanorma','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\viqigwazijul','command');
     DeleteFile('C:\Documents and Settings\Башмашникова.SFS\viqigwazijul.exe','32');
     DeleteFile('C:\Temp\sys','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\slihost.exe','command');
     DeleteFile('C:\WINDOWS\Tasks\DealPlyUpdate.job','32');
     DeleteFile('C:\Program Files\fcs.exe','32');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.


    Подробнее читайте в этом руководстве.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  5. #4
    Junior Member Репутация
    Регистрация
    25.06.2015
    Сообщений
    10
    Вес репутации
    10
    Запрошенные файлы
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  7. #6
    Junior Member Репутация
    Регистрация
    25.06.2015
    Сообщений
    10
    Вес репутации
    10
    Сделано
    Вложения Вложения
    Последний раз редактировалось Teogen; 26.06.2015 в 16:14.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  9. #8
    Junior Member Репутация
    Регистрация
    25.06.2015
    Сообщений
    10
    Вес репутации
    10

    Сделано

    subj
    Вложения Вложения

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Platform: Microsoft Windows XP Professional Service Pack 2 (X86) OS Language: Русский
    Internet Explorer Version 6 (Default browser: Chrome)
    Система дырявая как решето и установленный антивирус с такой дырявой системой вас не спасет.


    Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP прекращена

    Установите SP3 (может потребоваться активация) + все новые обновления для Windows

    Установите Internet Explorer 8 (даже если им не пользуетесь)


    ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      CloseProcesses:
      HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
      AutoConfigURL: [HKLM] => http://ertaco.com/cols/accepted2.ruo
      AutoConfigURL: [S-1-5-21-1126026615-2368042048-2318365495-500] => http://ertaco.com/cols/accepted2.ruo
      BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
      Toolbar: HKLM - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
      Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
      Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
      Toolbar: HKU\.DEFAULT -> No Name - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} -  No File
      Toolbar: HKU\.DEFAULT -> Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
      Toolbar: HKU\.DEFAULT -> No Name - {899CAC9D-533D-45C2-8A07-AFB42425B544} -  No File
      CHR HKLM\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - http://clients2.google.com/service/update2/crx
      S1 BDEnhanceBoost; system32\DRIVERS\BDEnhanceBoost.sys [X]
      2015-06-24 10:07 - 2013-08-19 12:44 - 00000000 ____D C:\Documents and Settings\Башмашникова.SFS\Application Data\Iqhid
      2015-06-24 10:06 - 2014-12-16 08:54 - 00000000 ____D C:\Documents and Settings\Башмашникова.SFS\Application Data\Browsers
      2015-06-24 10:06 - 2013-08-14 07:48 - 00000000 ____D C:\Documents and Settings\Башмашникова.SFS\Application Data\Ufmo
      2015-06-24 10:06 - 2013-08-07 16:19 - 00000000 ____D C:\Documents and Settings\Башмашникова.SFS\Application Data\Pini
      Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\1E94~1.SFS\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
      Task: C:\WINDOWS\Tasks\At2.job => C:\DOCUME~1\1E94~1.SFS\APPLIC~1\DealPly\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
      Task: C:\WINDOWS\Tasks\At3.job => C:\DOCUME~1\NETWOR~1\APPLIC~1\DealPly\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
      AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:183A9046
      AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:B4258C5D
      AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:ED2D63E4
      AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:FB4262DE
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Cyex]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\drm.exe]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\manajanorma]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\slihost.exe]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\viqigwazijul]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{44B5340F-D7F0-CA33-8758-AAD337DDEE16}]
      DomainProfile\AuthorizedApplications: [C:\Documents and Settings\Башмашникова.SFS\Local Settings\Temp\~nsu.tmp\Au_.exe] => Enabled:百度杀毒卸载程序
      DomainProfile\AuthorizedApplications: [C:\Documents and Settings\Башмашникова.SFS\Local Settings\Temp\pcitb_70856.exe] => Enabled:百度卫士在线安装程序
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  11. Это понравилось:


  12. #10
    Junior Member Репутация
    Регистрация
    25.06.2015
    Сообщений
    10
    Вес репутации
    10
    Да, система ужас, я ток пару недель как пришел на эту работу и пока с серверами пытаюсь справиться.
    Это поможет только для данной машины? Есть еще с зашифрованными файлами, успел зараза в сеть попасть. Как расшифровать на других машинах и как купить у Вас поддержку, через paypal чет не идет?
    Вложения Вложения
    Последний раз редактировалось Teogen; 27.06.2015 в 14:02.

  13. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Это поможет только для данной машины? Есть еще с зашифрованными файлами, успел зараза в сеть попасть.
    А неудивительно. Эксплойт такая штука, которая как раз хорошо работает на таких вот дырявых системах. С расшифровкой не поможем. Смените все пароли. Логи в порядке.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  14. Это понравилось:


  15. #12
    Junior Member Репутация
    Регистрация
    25.06.2015
    Сообщений
    10
    Вес репутации
    10
    Спасибо!!! Можете дать совет, как их расшифровать? Может подождать пока расшифровщик сделают?

  16. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    В данном случае я думаю смогут помочь только злодеи.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  17. #14
    Junior Member Репутация
    Регистрация
    25.06.2015
    Сообщений
    10
    Вес репутации
    10
    Почему то я так и думал

    - - - - -Добавлено - - - - -

    ТО есть, найти ключ расшифровки и расшифровать своими силами, затея глупая?

    - - - - -Добавлено - - - - -

    Еще вопрос, а как выйти теперь на злодеев? ))

  18. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    ТО есть, найти ключ расшифровки и расшифровать своими силами, затея глупая?
    А там стойкая криптография используется. Кстати, еще напишу кое-что, если Вы не сможете найти файл VAULT.KEY, то файлы не смогут расшифровать и злодеи.

    Связь с злодеями через этот httр://restoredz4xpmuqr.onion сайт. Сайт нужно открывать через Tor.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  19. #16
    Junior Member Репутация
    Регистрация
    25.06.2015
    Сообщений
    10
    Вес репутации
    10
    Огромнейшее спасибо за помощь

  20. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\fcs.exe - Trojan.MSIL.Agent.liy ( BitDefender: Trojan.Generic.KDV.396572 )


  • Уважаемый(ая) Teogen, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Шифровальщик
      От denchiksan в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 23.05.2015, 11:27
    2. Шифровальщик
      От Devust в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 18.03.2015, 15:44
    3. шифровальщик
      От kolobaxa в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 08.03.2015, 18:07
    4. Шифровальщик
      От Jen94 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.06.2014, 14:47
    5. Шифровальщик?
      От anatoliy210977 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 02.10.2013, 06:57

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00604 seconds with 17 queries