Пришло сообщение с почтового ящика [email protected], с вложением Счет на оплату (ТД Алмаз).zip, после открытия файла из архива, файлы (.xls, .xlsx, .doc, .docx, .txt, .jpg, pdf может и другие) стали иметь расширение: "KEYBTC@GMAIL_COM" (.keybtc@gmail_com)
Прошу помощи!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Zhorik, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\svchost.exe','');
QuarantineFile('C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\f166639.jpg','');
QuarantineFile('C:\Documents and Settings\user\Application Data\Windows\user.vbs','');
QuarantineFile('C:\Program Files\GamesRS\GUpdater.exe','');
DeleteService('GamesRS');
DeleteFile('C:\Program Files\GamesRS\GUpdater.exe','32');
DeleteFile('C:\Documents and Settings\user\Application Data\Windows\user.vbs','32');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\svchost.exe','32');
DeleteFileMask('C:\Program Files\GamesRS', '*', true);
DeleteDirectory('C:\Program Files\GamesRS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
Код:
Обнаруженные ключи в реестре: 5
HKCR\TypeLib\{363BB65D-1747-4826-B445-1DA6244E2037} (PUP.Optional.Amonetize) -> Действие не было предпринято.
HKCR\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67} (PUP.Optional.Amonetize) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96} (PUP.Optional.Amonetize) -> Действие не было предпринято.
HKCU\SOFTWARE\click-n-mark (PUP.Optional.ClickNMark.A) -> Действие не было предпринято.
HKCU\Software\AppDataLow\Software\click-n-mark (PUP.Optional.ClickNMark.A) -> Действие не было предпринято.
Обнаруженные папки: 1
C:\Documents and Settings\user\Application Data\41 (PUP.Optional.Amonetize.A) -> Действие не было предпринято.
Обнаруженные файлы: 15
C:\Documents and Settings\user\Application Data\41\a18467.exe (PUP.Optional.Amonetize) -> Действие не было предпринято.
C:\Documents and Settings\user\Local Settings\Temp\{BB615C6C-253C-4CB9-B1A1-B21B26241709}\Launcher_i511293520.exe (PUP.Optional.Amonetize) -> Действие не было предпринято.
C:\Documents and Settings\user\Local Settings\Temp\{3676CAFD-9E6F-4DB7-A85B-952AF158D722}\smileonline.exe (Trojan.Agent.KD) -> Действие не было предпринято.
C:\Documents and Settings\user\Local Settings\Temp\{4FEE9747-992B-40EA-A19C-D1AE0400E6F6}\Launcher_i511295842.exe (PUP.Optional.Amonetize) -> Действие не было предпринято.
C:\Documents and Settings\user\Application Data\41\Updater.xml (PUP.Optional.Amonetize.A) -> Действие не было предпринято.
C:\Documents and Settings\user\Application Data\41\status.cfg (PUP.Optional.Amonetize.A) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: