ESET CONNECT

Я расшифровал файлы. Подробности в личке кому интересно :)

Я расшифровал файлы. Подробности в личке кому интересно

[FONT=bitrixtemp]Восстановили подозрительный файл который находился в LOCALS~ зараженного компа, в файле такой код:


* @object    mailru.Ajax
* @alias    Ajax
* @author    RubaXa    <trash@rubaxa.org>
*
* Обертка к jQuery.Ajax
*
* Пример
*     mailru.Ajax({ ... })
*  mailru.Ajax.get()
*     mailru.Ajax.post
*
* В качестве результата будет возвращен экземпляр класса mailru.Ajax.Result
*     getXHR()    — ссылка на xhr
*     getOpts()    — параметры запроса
*  isSuccess()    — успешность запроса
*     isOK()        — хорошо
*     isNOP()        — ничего не изменилось
*     isNoAuth()    — пользователь не авторизован
*     isGET()
*     isPOST()
*     isJSON()
*     getStatus()    — получить статус ответа
*     getData()    — данные ответа
*/


jsLoader.require([
 '{jQuery}jquery'
, '{jsCore}Array'
, '{mailru}mailru.Notify'
, '{utils}store'
], f unction (){
   $.ajaxSetup({ dat a: { ajax_call: 1 } });

   // Create namespace
   $CO('mailru.Ajax');

   /**
    * @class mailru.Ajax
    */
   mailru.Ajax    = f unction (o)
   {
       o.type        = (o.type || 'GET').toUpperCase();
       o.dataType    = (o.dataType || 'json').toLowerCase();

       $(wind ow).triggerHandler('ajax.beforeSend', [o]);

       var xhr    = jQuery.ajax({
                       url:        o.url,
                       type:        o.type,
                       dat a:        o.data,
                       dataType:    'text',
                       timeout:    defined(o.timeout, 0),
                       async:        defined(o.async, true),
                       complete:    f unction (a, b){ mailru.Ajax.parse(a, b, o); }
                   });
       return    xhr;
   };

итд.

Файл прилагается
[/FONT]

Это понятно. Вирусного файла нет. Как и в темах на этом форуме. Он удаляет себя после работы. Есть возможность восстановить его?

Есть еще bup-ы в карантине макафи.

А это что? 19c5cf9c7b5dc9de3e548adb70398402_1f6a4128-b26b-4e4b-a485-5bf1085ba05a

Файл 32uKnOuhYfY7lVe.exe похоже самоуничтожился после своей работы. Делали его полный поиск непомогло.
Нашел подозрительные файлы выкладываю в архиве. Один файл похож на RSA ключ.

Выложил лог сисинспектора в шапке.

Да печально. Попробуем повторно заразить комп из письма. Проблема в том что троянец ломится в инет для скачивания шифратора, а там идет проверка на его запуск. При повторном запуске он может и не скачатся...

Валентин, спасибо. Но не помогло. Searching for Filecoder.Q's process running - not found
Главное окно шифратора (с инструкциями от вымогателей) не было. Вирус зашифровал файлы и раскидал в папки текстовые файлы - РАСШИФРУЕМ ФАЙЛЫ. Файлы просто не открываются никаких инструкций по отправке денег злоумышленникам нет т.к. они в текстовых файликах.