Trojan-Dropper.Win32.Daws.apim, Расширение у файлов теперь ".$", что делать?

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Daff, 15 апр 2012.

  1. Daff

    Daff Newbie

    Добрый день!
    Возникла проблема:
    На почту пришло письмо на тему «УВЕДОМЛЕНИЕ О НАЧАЛЕ ВЗЫСКАНИЯ ДОЛГА» с пристегнутым файлом «dokument.7z» (отправитель Зам.директора Юрколлегии В.А.Емельяненко<yurkollegiya@161.ru >).
    После открытия прикрепленного файла на вышеперечисленных файлах изменилось расширение и на раб. столе появилась картинка с текстом:

    ПРИПЛЫЛИ ГОСПОДА !
    Привет ! Мы приветствуем вас на борту нашего " Весёлого Роджера ".
    Ваш компьютер взят на абордаж коммандой Нигерийских пиратов.
    Ваши файлы зашифрованы нашим морским
    криптографом Джо Вазонезом.
    Если вы , человек нежадный и не психованный тип из ЛДПР,
    то, мы готовы обменять вашу драгоценную инфу, на жалкие
    бумажки именуемые деньгами. Поверьте, деньги зло - отдайте их нам.
    Алчных и неадекватных типов за борт.
    Весёлым и находчивым скидки.
    Членам Единой Росии тройная цена
    -столько натырили и совести у них нет.
    Для переговоров собираемся в кают компании, мыло есть.
    Номер компании 71541104
    RODGER@DIPLOMATS.COM

    В каждой папке (в т.ч. и в меню «Пуск») появился txtшный файлик "Расшифруем здесь" с аналогичным содержанием.
    Также перестал работать интернет (в диспетчере устройств на против сетевого оборудования ошибки, удаление – установка драйвера ничего не дает).

    Логи:
    HijackThis http://rghost.ru/37592034
    AVZ http://rghost.ru/37592087
    uVS http://rghost.ru/37592102
    Файл, открытие которого вызвало шифрование - Удалено
     
    Последнее редактирование модератором: 16 апр 2012
    Daff, 15 апр 2012
    #1
  2. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Запускали только этот файл из архива и все?
     
    Angel-iz-Ada, 16 апр 2012
    #2
  3. Daff

    Daff Newbie

    Да. только его.
     
    Daff, 16 апр 2012
    #3
  4. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Angel-iz-Ada, 16 апр 2012
    #4
  5. Daff

    Daff Newbie

    Я не знаю, троян это или шифратор но все вышеперечисленные файлы отображаются как "CRYPTED", если смотреть на другой машине или из под алкида тогда написано файл тип "$". И еще После заражения поставили Symanrec Endpoint protection он нашел в файле УВЕДОМЛЕНИЕ О НАЧАЛЕ ВЗЫСКАНИЯ ДОЛГА.exe Packed.Generic.307 и Trojan.Usuge!gen3. Также было найдено в файле ati2evnw.exe Packed.Generic.307 и Packed.Generic.3 и еще, в файле $r5xexk1.exe найдены те же проблемы.

    SysInspector лог http://rghost.ru/37614307

    P.S. Если на xls файле с расширением ".$" поменять то он становиться экселевским но при открытии пиишет: "нет доступа к файлу. Возможно файл поврежден, находиться на сервере, который не отвечает на запросы или доступен только для чтения."
     
    Последнее редактирование: 16 апр 2012
    Daff, 16 апр 2012
    #5
  6. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    выложите файлы которые в карантине антивируса, типа ati2evnw.exe и прочее
     
    Angel-iz-Ada, 16 апр 2012
    #6
  7. Daff

    Daff Newbie

    К сожалению нет такой возможности, антивирь их почистил.
     
    Daff, 16 апр 2012
    #7
  8. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    C:\Users\User_1\AppData\Local\Temp\6tZd5yGFx7WCdF6.exe
    этот файл нужен. без него расшифровка файлов невозможна
     
    Angel-iz-Ada, 16 апр 2012
    #8

Поделиться этой страницей