15.04.2015, 08:04 | #18 (ссылка) |
Новичок
Регистрация: 14.04.2015
Сообщений: 13
Репутация: 0
|
сегодня собрал инфу с зараженных компов. файлы собрал все в один архив.
каждый комп чем-то выделяется по типу и возможности заражения. http://files.webfile.ru/9a1bee3a793b...520f81c90f6806 |
15.04.2015, 08:17 | #19 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
по машине vatutina
эти папки были расшарены? C:\BANK_KL\***** C:\КЛ БАНК\***** это разве необходимо для работы с данными клиентами? + по этой машине Имя компьютера: YAKUBENKO эта папка расшарена? C:\USERS\OHRANA-TRUDA\DESKTOP\****** на всех 4 машинах активного шифратора нет. если все таки в сети продолжается шифрование, то первым делом надо отключить временно шары на компах, чтобы исключить вариант шифрования документов по сети. |
15.04.2015, 08:22 | #20 (ссылка) |
Новичок
Регистрация: 14.04.2015
Сообщений: 13
Репутация: 0
|
сейчас прямо на глазах прошел процесс заражения. на компе жигалина ,запустил сразу uvs, на компе целоусова запустили зараженный файл, может быть изза этого и пошел процесс.
http://files.webfile.ru/5fdfd9586dd6...893ebc25c7b01f |
15.04.2015, 08:30 | #23 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
на этой машине
Имя компьютера: JIGALINA этот файл проверьте на http://virustotal.com D:\КОНСУЛЬТАНТ\АНАЛИЗ ИЗМЕНЕНИЙ ЗАКОНОДАТЕЛЬСТВА 2011-2012\DISK\АНАЛИЗ ИЗМЕНЕНИЙ ЗАКОНОДАТЕЛЬСТВА 2011-2012.EXE SAFlashPlayer.exe Adobe Systems Incorporated Недействительна (файл поврежден/заражен) |
15.04.2015, 08:50 | #25 (ссылка) | |
Новичок
Регистрация: 14.04.2015
Сообщений: 13
Репутация: 0
|
Цитата:
---------- Добавлено в 07:46 ---------- Предыдущее сообщение было написано в 07:44 ---------- на технарях ру нашел запись, что др веб начал детектировать зловред, но я вчера скачивал куреит тот ни на одном компе не нашел. ---------- Добавлено в 07:50 ---------- Предыдущее сообщение было написано в 07:46 ---------- если зловред заражает расшареные ресурсы, то почему тогда не все, а выборочно, по какому критерию заражает? у меня расшарены 2 папки, в одной есть зараженные, в другой нет... файлы между собой по формату похожие |
|
15.04.2015, 08:55 | #26 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
зависит от того, кому дан доступ в данные папки, установлен ли пароль на доступ к шаре, какие права даны: для чтения, для записи, или полные права.
--------- расшарьте у себя одну папочку специально (для всех, с правами записи, изменения файлов), и добавьте в нее документы, понаблюдайте за ней - будет ли шифроваться или нет. так же по расшаренным папкам проверьте кто является владельцем зашифрованных документов. ---------- возможно шифратор уже самоудалился после запуска и шифрования. |
16.04.2015, 13:15 | #27 (ссылка) |
Новичок
Регистрация: 14.04.2015
Сообщений: 13
Репутация: 0
|
вот что нашел на компе главбуха
13.04.2015 16:44:56 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = wordpad.exe(6020) модифицированный Win32/Filecoder.DG троянская программа очищен удалением 14.04.2015 8:43:42 Модуль сканирования файлов, исполняемых при запуске системы файл C:\Users\Buh-7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wordpad.exe Win32/Filecoder.DG троянская программа очищен удалением (после следующего перезапуска) - изолирован вот это выдал антивирус на компе Vatutina 14/04/2015 7:56:15 Защита в режиме реального времени файл D:\np_ul 2012\INPUTDOC\LOG\spiskinp.log20120214GL-INGENER-ПК.txt.id-0180808654_maxcrypt@foxmail2.com вероятно неизвестный POLY.COM вирус удален VATUTINA\Гость Событие произошло в модифицированном файле. а вот это на компе Yakubenko 14.04.2015 11:42:31 Защита в режиме реального времени файл C:\Users\ohrana-truda\Desktop\Охрана Труда\диск\Books\covers_b\91180181.jpg.id-0180808654_maxcrypt@foxmail2.com вероятно неизвестный STEALTH.POLY.CRYPT.TSR.DRIVER вирус - изолирован YAKUBENKO\admin Событие произошло при попытке доступа к файлу следующим приложением: C:\Users\admin\AppData\Local\Temp\CDC4CDAF-BCAB58A-BDC667E1-FFBDCD97\6fRRISPgY8YI.exe. |
16.04.2015, 13:35 | #28 (ссылка) | ||
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
посмотрите этот файл
Цитата:
если есть там восстановите его, но с другим расширением. например vexe добавьте его в архив с паролем infected и вышлите в почту safety@chklst.ru ----------- это скорее всего ложная реакция на зашифрованный файл Цитата:
|
||
03.12.2015, 18:14 | #29 (ссылка) |
Новичок
Регистрация: 03.12.2015
Сообщений: 7
Репутация: 5
|
Всем доброго времени суток. Подскажите пожалуйста - удалось ли расшифровать файлы, зашифрованные maxcrypt@foxmail2.com ?
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
maxcrypt@foxmail2.com | kaktys93 | Безопасность | 20 | 10.04.2015 20:02 |
maxcrypt@foxmail2.com | PashaKri | Безопасность | 1 | 09.04.2015 17:19 |
Появились файлы вида "160-фев.xls.id-4229639946_maxcrypt@foxmail2" | s3df0x | Безопасность | 20 | 06.04.2015 16:54 |