srednij

trojan-downloader.script.generic

21 posts in this topic

Добрый день. Получил письмо, думал поставщики по ошибке отправили, такое случалось. Оказался вирус, зашифровал файлы формата docx, xlsx, jpg, pdf. Соответственно эти файлы не открываются. Во вложении сам файл и архив после сканирования.

 

CollectionLog-2017.01.11-17.35.zip

0

Share this post


Link to post
Share on other sites

Здравствуйте!

"Пофиксите" в HijackThis :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = C:\Program Files\i2p\scripts\i2pProxy.pac
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies,(Default) = 0C:\Program Files\i2p\scripts\i2pProxy.pac

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

0

Share this post


Link to post
Share on other sites

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
AutoConfigURL: [S-1-5-21-699453313-3146615548-1461102757-1001] => C:\Program Files\i2p\scripts\i2pProxy.pac
ManualProxies: 0C:\Program Files\i2p\scripts\i2pProxy.pac
C:\Users\User\AppData\Local\Temp\4a0f17b9936.exe
C:\Users\User\AppData\Local\Temp\exereader.exe
C:\Users\User\AppData\Local\Temp\mini_installer_new.exe
HKU\S-1-5-21-699453313-3146615548-1461102757-1001\...\ChromeHTML: ->  <==== ATTENTION
AlternateDataStreams: C:\Users\User\Desktop\д3п.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\User\Desktop\д3п.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\завесы.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\User\Desktop\завесы.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\завесы1.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\User\Desktop\завесы1.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\завесы2.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\User\Desktop\завесы2.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\Скан служебки по превышению.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\User\Desktop\Скан служебки по превышению.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\Служебка по опрессовщику.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\User\Desktop\Служебка по опрессовщику.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
Reboot:
end


и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
FRST_move.png

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
 

0

Share this post


Link to post
Share on other sites

Мы пока удаляли следы.

Постарайтесь найти пару зашифрованный/не зашифрованный. Если найдете, упакуйте и прикрепите к следующему сообщению, вместе с файлом ключа и (если есть) текстом вымогателей.

0

Share this post


Link to post
Share on other sites

Письмо пришло видимо с целью навредить. Никакого банера или текста об оплате нет. Не совсем понял что значит найти пару зашифрованный/не зашифрованны. В момент открытия вируса был открыт документ docx, он  не зашифровался. Его отправить и любой другой того же формата? Теперь Касперский нашел троянскую программу Trojan-Ransom.JS.Agent.dy. Что можно ещё предпринять?

0

Share this post


Link to post
Share on other sites
1 минуту назад, srednij сказал:

Не совсем понял что значит найти пару

К примеру, есть зашифрованный файл "образец.doc" (вероятно с другим расширением) и есть в другом месте (на флэшке, на другом ПК и т.п.) такой же файл, но не зашифрованный.

0

Share this post


Link to post
Share on other sites
12 минуты назад, srednij сказал:

Вставляется только незашифрованный

Упакуйте оба с паролем на архив.

Edited by Sandor
0

Share this post


Link to post
Share on other sites
1 час назад, Sandor сказал:

вместе с файлом ключа

Один из этих файлов:

Цитата

C:\Users\User\Desktop\RUD2A-35XRE-HXTHX-EETXE-HXTHX-TOOXZ-OXTXR-EXYYY.KEY

C:\Users\User\AppData\Roaming\RUD2A-35XRE-HXTHX-EETXE-HXTHX-TOOXZ-OXTXR-EXYYY.KEY

C:\RUD2A-35XRE-HXTHX-EETXE-HXTHX-TOOXZ-OXTXR-EXYYY.KEY

тоже, пожалуйста, прикрепите.

И наберитесь терпения, обещать пока ничего не буду.

0

Share this post


Link to post
Share on other sites

Включите в проводнике отображение скрытых и системных файлов.

0

Share this post


Link to post
Share on other sites

Вынужден Вас огорчить, это новый шифровальщик Spora. Инструментов по расшифровке пока не предвидится.

Если повезет, пробуйте восстановить файлы средствами Windows.

0

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now