Перейти к содержанию

Вирус помеля колировку фаилов ворд, эксель пдф

Alfistas
 Поделиться

Рекомендуемые сообщения

Alfistas

Alfistas

Опубликовано
Опубликовано (изменено)

Добрый день. Пришло письмо в бухгалтерию с вложенным файлом, после открытия на сетевых папках поменялась кодировка ворд, эксель и пдф, после сканирования KVRT нашел 2 вируса Backdoor.Win32.Androm.mgfm  C:\Documents and Settings\Галина\Local Settings\Temp\goodtdeaasdgb54.exe и HEUR:Trojan-Downloader.Script.Generic C:\Documents and Settings\Галина\Рабочий стол\1419214.gz. На рабочем столе появился скрытый файл реестра RUD1A-95AEK-GTERR-TXTOE-ETXZH-KFTRK-RYYYY.KEY.

 

Заражены только сетевые папки и локальный компьютер пользователя!

CollectionLog-2017.01.17-16.30.zip

Изменено пользователем Alfistas
Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

 

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Далеко пойдете с такой дырявой системой. Вообще за такое нужно наказывать. 

 

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP прекращена
 
Установите SP3 (может потребоваться активация) для Windows 
 
Установите Internet Explorer 8 (даже если им не пользуетесь)
 
Только после этого
 
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png
 
Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

Тут не пользователь виноват, а админ.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
2017-01-16 09:36 - 2017-01-16 09:36 - 00001088 ___RH C:\Documents and Settings\Галина\Application Data\RUD1A-95AEK-GTERR-TXTOE-ETXZH-KFTRK-RYYYY.KEY
2017-01-16 09:33 - 2017-01-16 09:36 - 02724280 _____ C:\Documents and Settings\Галина\Application Data\813320628
2017-01-16 09:36 - 2017-01-16 09:36 - 00001088 ___RH C:\RUD1A-95AEK-GTERR-TXTOE-ETXZH-KFTRK-RYYYY.KEY
2011-12-15 12:25 - 2011-12-15 12:25 - 0010338 _____ () C:\Documents and Settings\Галина\Local Settings\Application Data\SEC12A8.tmp
2011-12-19 12:55 - 2011-12-19 12:55 - 0010338 _____ () C:\Documents and Settings\Галина\Local Settings\Application Data\SEC1533.tmp
2011-11-15 18:37 - 2011-11-15 18:37 - 0010338 _____ () C:\Documents and Settings\Галина\Local Settings\Application Data\SEC2E9C.tmp
2011-11-16 14:49 - 2011-11-16 14:49 - 0010338 _____ () C:\Documents and Settings\Галина\Local Settings\Application Data\SEC33E5.tmp
2011-12-14 19:45 - 2011-12-14 19:46 - 0010338 _____ () C:\Documents and Settings\Галина\Local Settings\Application Data\SECF95.tmp
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Процитируйте содержимое этого C:\Documents and Settings\Галина\cleaner.bat файла.
Ссылка на комментарий
Поделиться на другие сайты
Alfistas

Alfistas

Опубликовано
  • Автор
Опубликовано (изменено)

Тут не пользователь виноват, а админ.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
2017-01-16 09:36 - 2017-01-16 09:36 - 00001088 ___RH C:\Documents and Settings\Галина\Application Data\RUD1A-95AEK-GTERR-TXTOE-ETXZH-KFTRK-RYYYY.KEY
2017-01-16 09:33 - 2017-01-16 09:36 - 02724280 _____ C:\Documents and Settings\Галина\Application Data\813320628
2017-01-16 09:36 - 2017-01-16 09:36 - 00001088 ___RH C:\RUD1A-95AEK-GTERR-TXTOE-ETXZH-KFTRK-RYYYY.KEY
2011-12-15 12:25 - 2011-12-15 12:25 - 0010338 _____ () C:\Documents and Settings\Галина\Local Settings\Application Data\SEC12A8.tmp
2011-12-19 12:55 - 2011-12-19 12:55 - 0010338 _____ () C:\Documents and Settings\Галина\Local Settings\Application Data\SEC1533.tmp
2011-11-15 18:37 - 2011-11-15 18:37 - 0010338 _____ () C:\Documents and Settings\Галина\Local Settings\Application Data\SEC2E9C.tmp
2011-11-16 14:49 - 2011-11-16 14:49 - 0010338 _____ () C:\Documents and Settings\Галина\Local Settings\Application Data\SEC33E5.tmp
2011-12-14 19:45 - 2011-12-14 19:46 - 0010338 _____ () C:\Documents and Settings\Галина\Local Settings\Application Data\SECF95.tmp
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Процитируйте содержимое этого C:\Documents and Settings\Галина\cleaner.bat файла.

 

"C:\Program Files\CCleaner\CCleaner.exe" /AUTO

Прикладываю фаил!!!

Fixlog.txt

Изменено пользователем Alfistas
Ссылка на комментарий
Поделиться на другие сайты
seka555

seka555

Опубликовано
Опубликовано

Добрый день! У меня аналогичная проблема. Два дня назад поработал этот же вирус и так же оставил скрытый файл на рабочем столе.  Есть ли решение по данной проблеме.??

Ссылка на комментарий
Поделиться на другие сайты
Alfistas

Alfistas

Опубликовано
  • Автор
Опубликовано

Добрый день! У меня аналогичная проблема. Два дня назад поработал этот же вирус и так же оставил скрытый файл на рабочем столе.  Есть ли решение по данной проблеме.??

Решений нет по этой проблеме!

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

 

AV: ESET NOD32 Antivirus 4.0 (Enabled - Up to date) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

Антивирус безнадежно устарел. Самое печальное в этой ситуации, что пока жаренным не запахнет никто ничего в организации делать не будет. Может быть после этого случая вы задумайтесь над резервным копированием важной информации и своевременным обновлением антивируса до последней версии! Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку вашего антивируса. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • farguskz
      вирус
      Автор farguskz
      приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо
      систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок
      virus.zip Addition.txt Shortcut.txt FRST.txt
    • monstr878
      Непонятный вирус!
      Автор monstr878
      Помогите пожалуйста попал в такую ситуацию. С начала после запуска пк не открывалось не одно приложение, понель задач и поиск. Антивирус отказывался запускать сканирование запуская
      бессконечную загрузку. Попробовали AVZ не помогло, но встроенный антивирус винды начал работать но также ничего не нашел. Дальше переустановил виндовс, после скачивания всех обновлений,
      При настройки браузеров скачивании приложений проблема возобновилась. Установил касперский он нашел одну папку, но после удаления папки ничего не поменялаось.
      Симптомы: на нажатие кнопки виндовс реакции нет, не открывается поиск, настройки виндовс, при попытки зайти в персонализацию пишет что такого приложения не обнаружено.
      Подскажите пожалуйста что это может быть и как это решить?
    • LexaSLX
      Вирус-шифровальщик, вымогатель
      Автор LexaSLX
      Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том М (Зарезервировано системой) , на нем один файл HELP.txt, с координатами вымогателя. Так же этот файл появился во всех папках. Система грузится, но все файлы (1C, Office, html и др.) зашифрованы. На рабочем столе висит картинка с надписью: "We encrypted adn stolen all of your files. Open HELP.txt and follow the instructions to recover your files." . Нужна помощь в расшифровки.  В приложении результат сканирования FRST, а также оригиналы документов и их зашифрованные версииFRST.txt
      Addition.txt ориг и шифр.zip
      HELP.txt
    • alexansh
      Если вирус был на андроиде UDS:Trojan.AndroidOS.Piom.bngd
      Автор alexansh
      На смартфоне
      Версия Android 9 PPR1.180610.011
      Проверял антивирусом
      Kaspersky Free 
      Версия 11.124.4.14286
      Вирус: UDS:Trojan.AndroidOS.Piom.bngd
      -----------------------------------------------
      Если на смартфоне при открытии приложения "Сбербанк" появилось сообщение, что обнаружен вирус "UDS:Trojan.AndroidOS.Piom.bngd" 
      и при этом давалась возможность удалить этот вирус, что я и сделал (удалил его).
      В тех.поддержке Сбербанка мне сказали, что этот вирус был в прошивке смартфона, и что теперь уже он удалён модулем Касперского.
      Также сказали, что какие могут быть последствия от этого вируса, они не знают.
      Рекомендовали обратиться в Лабораторию Касперского.
      После этого на смартфоне иногда возникали торможения - черный экран во время работы на некоторое время и черный экран при перезагрузке на некоторое время.
      Кнопками можно было вывести смартфон в нормальное состояние. Но в основном смартфон работает нормально.
      **********************************************************************************************************************************
      Хотел узнать, что это за троян, что он делает, какие возможные последствия и как его можно побороть ?
      И лечится ли он антивирусом, если находится в прошивке ? (ведь при входе в приложение Сбербанк вирус был удален из прошивки).
      И как "очистить" прошивку, чтобы быть уверенным, что там всё в порядке ?
      И как избавиться от последствий этого трояна ?

    • Eugenij_
      Вирус в оперативке видеокарты
      Автор Eugenij_
      Здравствуйте. Сегодня поймал удивительного вируса. Купил видеокарту недорого. На Озоне. Говорят, на витрине стояла. 1070. Воткнул. Начал ставить драйвера. Смотрю. У меня архивчик на рабочем столе сам мелькнул. И пропал. Я, естественно, шнур интернета выдернул. И перезагузился в линукс. И начал наблюдать удивительную картину, как у меня в папку загрузки сыплется софт. Я его удаляю, а он снова летит. Там даже сервер под винду падал. Денвер. Драйвера на мою материнку...  Касперский ни звука. Ладно, гружу винду в безопасном режиме. Лезу в службы и обнруживаю драйвер Рам диска. И отключить зараза не даёт. Отдавать не хочу. Интересно сбороть. Тут, наверное, только биос шить? К сожалению это было уже ночью. Не было сил нормально понаблюдать. Пока компьютер не включал. 
×
×
  • Создать...