Здравствуйте. На днях словили трояна, зашифровал все до чего дотянулся. Есть какие либо варианты дешифровки?
Найденные вирусы
Trojan-Ransom.Win32.Shade.pan
Trojan.Win32.Reconyc.izkx
Trojan.Win32.Agent.nezeod
Здравствуйте. На днях словили трояна, зашифровал все до чего дотянулся. Есть какие либо варианты дешифровки?
Найденные вирусы
Trojan-Ransom.Win32.Shade.pan
Trojan.Win32.Reconyc.izkx
Trojan.Win32.Agent.nezeod
Последний раз редактировалось саша233; 10.11.2018 в 19:16.
Уважаемый(ая) саша233, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
С расшифровкой скорее всего не поможем.
HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.
Код:O4 - MSConfig\startupreg: CSRSS [command] = C:\ProgramData\Drivers\csrss.exe (HKCU) (2018/11/09) (file missing) O4 - MSConfig\startupreg: Client Server Runtime Subsystem [command] = C:\ProgramData\Windows\csrss.exe (HKCU) (2018/11/09) (file missing) O4 - MSConfig\startupreg: hh.exe [command] = C:\ProgramData\Resources\svchost.exe (HKCU) (2018/11/09) (file missing)
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\ProgramData\Windows\csrss.exe', ''); QuarantineFile('C:\ProgramData\Drivers\csrss.exe', ''); QuarantineFile('C:\ProgramData\Resources\svchost.exe', ''); DeleteFile('C:\ProgramData\Windows\csrss.exe', '32'); DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32'); DeleteFile('C:\ProgramData\Resources\svchost.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hh.exe','command'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: 2018-11-09 14:36 - 2018-11-10 11:43 - 000000000 __SHD C:\Users\Все пользователи\Resources 2018-11-09 14:36 - 2018-11-10 11:43 - 000000000 __SHD C:\ProgramData\Resources 2018-11-09 14:02 - 2018-11-09 14:02 - 003072054 _____ C:\Users\Ольга\AppData\Roaming\5F5987EF5F5987EF.bmp 2018-11-09 14:01 - 2018-11-09 14:01 - 000004150 _____ C:\Users\Ольга\Desktop\README9.txt 2018-11-09 14:01 - 2018-11-09 14:01 - 000004150 _____ C:\Users\Ольга\Desktop\README8.txt 2018-11-09 14:01 - 2018-11-09 14:01 - 000004150 _____ C:\Users\Ольга\Desktop\README7.txt 2018-11-09 14:01 - 2018-11-09 14:01 - 000004150 _____ C:\Users\Ольга\Desktop\README6.txt 2018-11-09 14:01 - 2018-11-09 14:01 - 000004150 _____ C:\Users\Ольга\Desktop\README5.txt 2018-11-09 14:01 - 2018-11-09 14:01 - 000004150 _____ C:\Users\Ольга\Desktop\README4.txt 2018-11-09 14:01 - 2018-11-09 14:01 - 000004150 _____ C:\Users\Ольга\Desktop\README3.txt 2018-11-09 14:01 - 2018-11-09 14:01 - 000004150 _____ C:\Users\Ольга\Desktop\README2.txt 2018-11-09 14:01 - 2018-11-09 14:01 - 000004150 _____ C:\Users\Ольга\Desktop\README10.txt 2018-11-08 15:24 - 2018-11-10 11:43 - 000000000 __SHD C:\Users\Все пользователи\Windows 2018-11-08 15:24 - 2018-11-10 11:43 - 000000000 __SHD C:\ProgramData\Windows MSCONFIG\startupreg: Client Server Runtime Subsystem => "C:\ProgramData\Windows\csrss.exe" MSCONFIG\startupreg: CSRSS => "C:\ProgramData\Drivers\csrss.exe" MSCONFIG\startupreg: hh.exe => "C:\ProgramData\Resources\svchost.exe" Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Прикрепил. архива карантин нет, т.к. я до этого заархивировал эти файлы. как их выложить? пароль на архиве virus
Фикс FRST выполнился не верно, так как не сохранили файл с поддержкой Unicode.
Сохраните пожалуйста fixlist.txt с поддержкой unicode.Код:�����
xU2ZE[1].png
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 6
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
- \=ED=EE=E2=E0=FF =EF=E0=EF=EA=E0 (2)\drivers-csrss.zip - UDS:=
Trojan.Win32.Agent.sb ( BitDefender: Gen:Trojan.Heur.2mKfXadFIYgc =
)- \=ED=EE=E2=E0=FF =EF=E0=EF=EA=E0 (2)\resources-svchost.zip - =
UDS:Trojan.Win32.Agent.sb ( BitDefender: Gen:Trojan.Heur.GZ.VmGfb4=
Xcdkp )- \=ED=EE=E2=E0=FF =EF=E0=EF=EA=E0 (2)\temp0(tmp.exe).zip - Tro=
jan-Ransom.Win32.Shade.pan ( BitDefender: Gen:Trojan.Heur.2mKfXadF=
IYgc )- \=ED=EE=E2=E0=FF =EF=E0=EF=EA=E0 (2)\windows-csrss.zip - Troj=
an-Ransom.Win32.Shade.pan
Уважаемый(ая) саша233, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.