На почту пришел файл акт-сверки в архиве, после распаковки выдались иероглифы при открытии файла, далее все документы на компьютере (doc, xsl) и картинки зашифровались, к расширению файлов добавилось keybtc@gmail_com. Выполнила вашу инструкцию на сайте, прикрепляю логи. Нужно ли прислать некоторые зашифрованные файлы?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Olya***, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\suptab\dpinterface32.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\IePluginServices\PluginService.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\svchost.exe',''); QuarantineFile('C:\PROGRA~1\SupTab\SEARCH~1.DLL',''); DeleteFile('C:\PROGRA~1\SupTab\SEARCH~1.DLL','32'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\svchost.exe','32'); DeleteFile('C:\Documents and Settings\All Users\Application Data\IePluginServices\PluginService.exe','32'); DeleteFile('C:\Program Files\suptab\dpinterface32.dll','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Прислать карантин, это прислать по правилам всё, что AVZ-Файл-Просмотр карантина-Файлы заархивировать и прислать?
- - - - -Добавлено - - - - -
Карантин "согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы" выслала, Новые логи и лог mbam прикрепляю.
Поместите в карантин МВАМ всё, кроме
С расшифровкой не поможемКод:Malware.Gen, C:\Documents and Settings\Admin\?????? ??????N????µ??N?N?\Downloads\AdobePhotoshopCS5Extended12.0Final[?*N?N?N???????]\Adobe.Photoshop.CS5.Extended.v12.0.Keymaker-EMBRACE.exe, , [8938f0273349dc5a043c25472fd153ad], Trojan.Dropped, C:\Documents and Settings\Admin\?????? ??????N????µ??N?N?\Downloads\Foxit Phantom 2.2.4 Build 0225\Repack\F.Ph.2.2.4.0225.exe, , [02bf080f1b616dc923bc886754ad8a76], Trojan.Dropped, C:\Documents and Settings\Admin\?????? ??????N????µ??N?N?\Downloads\Foxit Phantom 2.2.4 Build 0225\UnaTTended\Un_F.Ph.2.2.4.0225.exe, , [f8c925f2324a1a1c03dccc23a25fb44c], RiskWare.Tool.CK, C:\Documents and Settings\Admin\?????? ??????N????µ??N?N?\Downloads\UltraISO Premium Edition v9.5.3.2901 Final Ml_Rus\Retail\Keygens\Keygen-ZWT\keygen.exe, , [cef3bd5a09734aec8c0311b98e736c94], Trojan.Agent, C:\Documents and Settings\Admin\?*?°?±??N????? N?N????»\acad 2010\Spoon\XSandbox\1.0.0.0\MODIFIED\@DOCUMENTS@\autodesk_2010_32_bits.exe, , [7b46aa6d4c30fd39baabb278c73bef11], Trojan.Dropped, C:\WINDOWS\system32\hidcon.exe, , [17aa3fd85a2271c512cd12ddad54bb45],
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
А ещё вопрос...может конечно совершаю ненужные действия, но покопалась в компе и обнаружила некоторые файлы созданные в момент заражения, вот некоторые названия, прикреплять пока не буду...они могут чем-то быть полезными мне или Вам, или наоборот удалить?
1. Папка "UNBLOCK-KEY" с файлами UNIQUE.PRIVATE и BACKUP_17585-KEY.PRIVATE
2. файл word.doc
3. файл sdelete.exe
4. файл 216079.29
5. файл client.keybtc
6. файл hotkey.cmd
7. файл pubring.gpg
8. файл KEY.PRIVATE
9. файл bitdata.cmd
10. файл UNIQUE.PRIVATE
11. файл dw.log
12. файл UNCRYPT.txt
Причём файлы 2-6 появились в момент открытия зараженного письма, а файлы 1, 7-12 уже после зашифровки.
Нам они ничем не помогут. Эти файлы не рекомендую удалить:они могут чем-то быть полезными мне или Вам, или наоборот удалить?
7. файл pubring.gpg
8. файл KEY.PRIVATE
10. файл UNIQUE.PRIVATE
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\suptab\dpinterface32.dll - not-a-virus:AdWare.Win32.Agent.cchn ( DrWEB: Adware.Mutabaha.60 )
Уважаемый(ая) Olya***, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
