Перейти к содержанию
Авторизация  
resident_63

Закодированы все файлы, SOS на backspace@riseup.net

Рекомендуемые сообщения

9 января около 19:00 супруга словила трояна на служебный ноут. Результат-переименованы и закодированы все файлы, самое страшное-база 1С. Все файлы имеют расширение *.backspace@riseup.net_244. Сначала был скачан, обновлен и запущен на зараженной машине avz4 со следующим скриптом:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\system32\machineupper32 .exe','');
DeleteFile('C:\WINDOWS\system32\machineupper32.exe ','32');
DeleteFile('C:\Documents and Settings\All Users\Application Data\NTFS\ntdsk.dll','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Micro soft\Windows\CurrentVersion\Policies\Explorer\Run' ,'Windows Debugger 32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Результата никакого, ноут продолжал заражать файлы на внешнем usb-драйве (приходилось запускать с него avz4).
Затем Kaspersky Resque Disk 10 обнаружил и уничтожил трояна Trojan.Win32.Bublik.kzl (10.01.14 1:49 Обнаружено троянская программа Trojan.Win32.Bublik.kzl C:/Documents and Settings/user/Application Data/Fujwjb.exe Высокая) (наверное, зря). Файл ps.ce сейчас не находится. После загрузки системы происходит попытка установки некоего Document Viewer, программа установки ищет пакет 'Document viewer.msi

Когда 10 января пытался просмотреть Event Viewer, листал раздел System до нужной даты - он вдруг стал неактивным, появился красный крест на слове Sytem, и все записи до 10 января исчезли...
Есть возможность дешифровать файлы? Нужно вернуть хотя бы только базу 1с8.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Порядок оформления запроса о помощи http://forum.kasperskyclub.ru/index.php?showtopic=31551

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скрипт из первого сообщения был написан для вас или для другого пользователя? Данный скрипт вы выполняли?

 

По правилам раздела требуются еще логи RSIT.

 

UPD: Ваша http://virusinfo.info/showthread.php?t=152975 тема? 

Изменено пользователем mike 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скрипт из первого сообщения был написан для вас или для другого пользователя? Данный скрипт вы выполняли?

 

По правилам раздела требуются еще логи RSIT. 

Скрипт из первого сообщения был взят из форума, не помню уже какого именно, но он собственно ничего не изменил - ноут продолжал заражать файлы на внешнем драйве. RSIT сделаю чуть позже, туда вроде как входят логи Hijackthis, которые я уже приложил

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, на virusinfo.info заявка 152975 моя

Так как лечение там вы уже начали проходить, то тут тема закрыта.
  • Спасибо (+1) 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Авторизация  

×
×
  • Создать...