resident_63 0 Опубликовано 12 января, 2014 Share Опубликовано 12 января, 2014 9 января около 19:00 супруга словила трояна на служебный ноут. Результат-переименованы и закодированы все файлы, самое страшное-база 1С. Все файлы имеют расширение *.backspace@riseup.net_244. Сначала был скачан, обновлен и запущен на зараженной машине avz4 со следующим скриптом:beginShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);if not IsWOW64thenbeginSearchRootkit(true, true);SetAVZGuardStatus(True);end;QuarantineFile('C:\WINDOWS\system32\machineupper32 .exe','');DeleteFile('C:\WINDOWS\system32\machineupper32.exe ','32');DeleteFile('C:\Documents and Settings\All Users\Application Data\NTFS\ntdsk.dll','32');RegKeyParamDel('HKEY_CURRENT_USER','Software\Micro soft\Windows\CurrentVersion\Policies\Explorer\Run' ,'Windows Debugger 32');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(false);end.Результата никакого, ноут продолжал заражать файлы на внешнем usb-драйве (приходилось запускать с него avz4).Затем Kaspersky Resque Disk 10 обнаружил и уничтожил трояна Trojan.Win32.Bublik.kzl (10.01.14 1:49 Обнаружено троянская программа Trojan.Win32.Bublik.kzl C:/Documents and Settings/user/Application Data/Fujwjb.exe Высокая) (наверное, зря). Файл ps.ce сейчас не находится. После загрузки системы происходит попытка установки некоего Document Viewer, программа установки ищет пакет 'Document viewer.msi Когда 10 января пытался просмотреть Event Viewer, листал раздел System до нужной даты - он вдруг стал неактивным, появился красный крест на слове Sytem, и все записи до 10 января исчезли...Есть возможность дешифровать файлы? Нужно вернуть хотя бы только базу 1с8. Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 12 января, 2014 Share Опубликовано 12 января, 2014 Порядок оформления запроса о помощи http://forum.kasperskyclub.ru/index.php?showtopic=31551 Ссылка на сообщение Поделиться на другие сайты
resident_63 0 Опубликовано 12 января, 2014 Автор Share Опубликовано 12 января, 2014 Забыл, прикладываю необходимые логи hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 12 января, 2014 Share Опубликовано 12 января, 2014 (изменено) Скрипт из первого сообщения был написан для вас или для другого пользователя? Данный скрипт вы выполняли? По правилам раздела требуются еще логи RSIT. UPD: Ваша http://virusinfo.info/showthread.php?t=152975 тема? Изменено 12 января, 2014 пользователем mike 1 Ссылка на сообщение Поделиться на другие сайты
resident_63 0 Опубликовано 12 января, 2014 Автор Share Опубликовано 12 января, 2014 Скрипт из первого сообщения был написан для вас или для другого пользователя? Данный скрипт вы выполняли? По правилам раздела требуются еще логи RSIT. Скрипт из первого сообщения был взят из форума, не помню уже какого именно, но он собственно ничего не изменил - ноут продолжал заражать файлы на внешнем драйве. RSIT сделаю чуть позже, туда вроде как входят логи Hijackthis, которые я уже приложил Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 12 января, 2014 Share Опубликовано 12 января, 2014 UPD: Ваша http://virusinfo.inf...ad.php?t=152975 тема? На этот вопрос тоже ответьте. Ссылка на сообщение Поделиться на другие сайты
resident_63 0 Опубликовано 12 января, 2014 Автор Share Опубликовано 12 января, 2014 Да, на virusinfo.info заявка 152975 моя Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 12 января, 2014 Share Опубликовано 12 января, 2014 Да, на virusinfo.info заявка 152975 мояТак как лечение там вы уже начали проходить, то тут тема закрыта. 1 Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения