Перейти к содержимому


Фотография
- - - - -

Зашифровались файлы (HEUR:Trojan-Downloader.Script.Generic)

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 9

#1 OFF   Vladij

Vladij

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 06 Март 2019 - 13:25

Случайно запустил JSE файл.
Каспер-онлайн находит HEUR:Trojan-Downloader.Script.Generic
Файл есть, из темпа файлы типа WIN-0N4PR6UIIHB*.log, а также, вроде, нашёл несколько пар - изначальный и перекодированный 

Текст (создны readme.txt) следующий:

Baшu фaйлы были зашифpованы.Чтoбы pаcшuфpoвать их, Вaм нeобxoдимo оmпpавиmь код:
994017C2EE69EA30555C|0
нa электрoнный адрес pilotpilot088@gmail.com .
Дaлее вы nолучиme всe необxодимые инcmpуkции.
Поnыткu рacшuфpoвать cамoсmoяmельнo не пpиведут ни k чeмy, kрoме безвозвраmной nоmeрu инфоpмaциu.
Если вы всё жe хоmитe поnытаmьcя, mo nредваpuтeльнo cделaйmе резeрвныe kопиu фaйлов, иначе в слyчае
иx изменeния pacшифpовкa cmанeт нeвoзмoжной нu nрu каkux ycловuяx.
Если вы нe nолyчuлu отвemа по вышеуkaзaннoму aдресу в mечение 48 чaсов (и moлькo в этом cлучае!),
вocпoльзyйmеcь фopмой обpaтнoй связи. Эmо можнo сделamь двумя споcобамu:
1) Сkачaйmе и ycтанoвиmе Tor Browser по ccылкe: https://www.torproje....d-easy.html.en
В адpеcной стpокe Tor Browser-а ввeдите aдpеc:
http://cryptsen7fo43rr6.onion/
u нажмите Enter. Заrpузuтcя cтpaницa c формoй обраmнoй связu.
2) B любом бpаузеpе перейдите no однoму uз aдpеcoв:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

Прикрепленные файлы


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 365

Отправлено 06 Март 2019 - 13:33

Здравствуйте!

Это Shade, расшифровки нет, к сожалению.

Для очистки его следов и мусора дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#3 OFF   Vladij

Vladij

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 06 Март 2019 - 14:59

Файлы  прилагаю.

 

Правильно понимаю, что обо всех перекодированных файлах можно забыть навсегда?

Прикрепленные файлы

  • Прикрепленный файл  Addition.txt   52,37К   скачиваний 1
  • Прикрепленный файл  FRST.txt   44,29К   скачиваний 1

  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 365

Отправлено 06 Март 2019 - 15:22

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    2019-03-06 09:44 - 2019-03-06 13:42 - 000000000 __SHD C:\ProgramData\Windows
    FirewallRules: [{0A75A416-A388-4922-A8CB-946D39ACF334}] => (Allow) C:\Users\Admin\AppData\Local\MediaGet2\mediaget.exe No File
    FirewallRules: [{AB136DC5-52B2-4ABD-9992-1A1783E3775D}] => (Allow) C:\Users\Admin\AppData\Local\MediaGet2\mediaget.exe No File
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Раз уж вы решили перейти на KIS, дочистите следы Comodo по соотв. инструкции:
Чистка системы после некорректного удаления антивируса.
  • 0
Изображение

#5 OFF   Vladij

Vladij

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 07 Март 2019 - 12:06

Сделал.

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   1,34К   скачиваний 1

  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 365

Отправлено 07 Март 2019 - 12:28

Вы неверно скопировали скрипт (пропали двоеточия). Аккуратно повторите ещё раз.
  • 0
Изображение

#7 OFF   Vladij

Vladij

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 08 Март 2019 - 13:10

Исправился..

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   1,19К   скачиваний 1

  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 365

Отправлено 08 Март 2019 - 18:39

Правильно понимаю, что обо всех перекодированных файлах можно забыть навсегда?

Скорее всего да. Если только злодеев поймают, либо они сами, раскаявшись, отдадут ключи.

На будущее проверьте что следует исправить:
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Сообщение отредактировал Sandor: 08 Март 2019 - 18:39

  • 0
Изображение

#9 OFF   Vladij

Vladij

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 10 Март 2019 - 21:37

Кстати, большую часть файлов удалось восстановить с помощью Undelete-программы... Около 70% зашифрованных вирусом...

Прикрепленные файлы


  • 0

#10 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 365

Отправлено 10 Март 2019 - 22:00

удалось восстановить с помощью Undelete-программы

Вам повезло.

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.253.17763.0 Внимание! Скачать обновления
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 18.01 (x64) v.18.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.11126.20188 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Foxit Reader v.7.1.3.320 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45095 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 60 (64-bit) v.8.0.600.27 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u201-windows-x64.exe)^
Java SE Development Kit 8 Update 60 (64-bit) v.8.0.600.27 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u201-windows-x64.exe)^
------------------------------- [ Browser ] -------------------------------
Opera Stable 58.0.3135.79 v.58.0.3135.79 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
----------------------------- [ EmailClient ] -----------------------------
Mozilla Thunderbird 60.5.1 (x86 ru) v.60.5.1 Внимание! Скачать обновления


Рекомендации после удаления вредоносного ПО
  • 0
Изображение




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных