647 ответов в этой теме

[eugene_7]

Надеюсь скоро все исправится.

Прикрепленные файлы:

•  ISUZUAUTO2_Администратор_180613_151553.zip   1,84Мб   9 Скачано раз
•  forum_drweb.rar   217,75К   9 Скачано раз

[v.martyanov]

v.martyanov, ок. а тема письма всегда одна - Заказ для *****@******* ?

сигнатуры Dr.Web блокируют уже письмо?

Я письма-то не видел :-)

[Juiceeguy]

Добрый день. 

Тоже хватанул эту дрянь.

 

Тикет: [drweb.com #4175970].

 

В добавок ко всему outlook перестал принимать почту. Выдает ошибку о том что не может найти почтовый сервер. Ранее утром при запуске outlook зап%D

[mrbelyash]

Надеюсь скоро все исправится.

проверьте заодно на вирустотал файлик 

C:\Windows\updates.exe

 

[Юхим]

VVS, самого письма счастья нет. Хочу чтоб его и не было. Для  чего и спрашиваю.

[v.martyanov]

 

Надеюсь скоро все исправится.

проверьте заодно на вирустотал файлик 

C:\Windows\updates.exe

 

Это его загрузчик, ага.

[skbob]

Всем добрый (надеюсь) день.
Та же беда.. 

[drweb.com #4176707]

 

вдобавок ко всему вышесказанному слетели  обои рабочего стола

 

[Юхим]

вдобавок ко всему вышесказанному слетели  обои рабочего стола

 хоть чуток юмора есть

[mrbelyash]

 

 

Надеюсь скоро все исправится.

проверьте заодно на вирустотал файлик 

C:\Windows\updates.exe

 

Это его загрузчик, ага.

 

 

А что бутират уже не используют?

[v.martyanov]

215/225 шли со своим загрузчиком. Сплоет 2012-го года->лоадер->энкодер.

[dimmon3]

я тут провел опыт на виртуальной машине (может пригодится для решения проблемы) - схема заражения такая:

1) в папку %TEMP% помещается файл 2007.exe

2) 2007.exe создает файл updates.exe в каталоге %windir%

3) updates.exe подключается к серверу ru109.activeby.net и оттуда получает кодировщик и ID.

4) далее кодировщик (в моем случае это %HOMEDRIVE%\6OoxkJ8eoxYSEoe6fVmJ.exe) занимается уже переколбашиванием файлов...

Сообщение было изменено dimmon3: 18 Июнь 2013 - 15:41

[vanaol]

drweb.com #4176649

 http://webfile.ru/6569639

[Юхим]

dimmon3,  а ты попробуй забань  activeby.net куда он поломится дальше?

[romanauscas]

Скажите, так этот вирус распространяется обходя любые антивирусы? Я сис.админ, ко мне обратился пострадавший от этого вируса. ОС Windows XP, антивирус НОД с просроченными базами. У меня волосы дыбом от последствий. + у него еще файл расшифровать тоже ЗАШИФРОВАН и с тупым расширением почты иродов. т.е ID для расшифровки негде и взять. 

 

Мне просто интересно, если бы система была Виндовс 7 или 8, с последними обновлениями ОС, с работающим антивирусом например Доктор Веб, с обновленными базами, то проскочил бы он так просто в папку темп и далее по своему жизненному пути?

 

[Beavis_cool]

Антивирусы - пока не определяют это как вирус. ибо он только вчера вечером в сеть попал. (первое сообщение темы об этом гласит)

 

хммм.. вот я тоже думаю - все постарадавшие - пользователи Windows XP

Сообщение было изменено Beavis_cool: 18 Июнь 2013 - 15:59

[dimmon3]

Юхим, пробовал. он постучался и отвалился. кстати если отдельно запустить кодировщик, то он всё равно все файлы переколбашивает, но только в файле РАСШИФРОВАТЬ поле ID пустое. Значит ли это, что алгоритм шифрования от ID не зависит?!

[Юхим]

 + у него еще файл расшифровать тоже ЗАШИФРОВАН

 

значит у него джекпот поймал 2 трояна

[v.martyanov]

Скажите, так этот вирус распространяется обходя любые антивирусы? Я сис.админ, ко мне обратился пострадавший от этого вируса. ОС Windows XP, антивирус НОД с просроченными базами. У меня волосы дыбом от последствий. + у него еще файл расшифровать тоже ЗАШИФРОВАН и с тупым расширением почты иродов. т.е ID для расшифровки негде и взять. 

 

Мне просто интересно, если бы система была Виндовс 7 или 8, с последними обновлениями ОС, с работающим антивирусом например Доктор Веб, с обновленными базами, то проскочил бы он так просто в папку темп и далее по своему жизненному пути?

Exploit 12-го года, так что вряд ли запустилось бы хоть что-то.

Юхим, пробовал. он постучался и отвалился. кстати если отдельно запустить кодировщик, то он всё равно все файлы переколбашивает, но только в файле РАСШИФРОВАТЬ поле ID пустое. Значит ли это, что алгоритм шифрования от ID не зависит?!

От ID вроде не зависит, это только серийник диска.

[Юхим]

dimmon3, а тело письма ты не удалил? что там в свойствах?

[Юхим]

v.martyanov, а вам присылали уже само тело письма?