Добрый день, ув. форумчане. Я так понимаю, поймал я стандартный шифровальщик. Сделал логи. Все документы и фотографии не открываются, расширения сменены со стандартных на doc.zskpmbn, docх.zskpmbn и подобное.
Файлы карантинов и логов во вложении.
Очень надеюсь на вашу помощь.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Elek-315, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Базы обновляем и делаем новые логи.Attention !!! Database was last updated 23.02.2014 it is necessary to update the database (via File - Database update)
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
СделалСообщение от mike 1
Еще нашел у себя папку с Crypto/RSA и CryptnetUrlCache
+ стандартное письмо о том, что мои файлы были зашифрованы.
В AVZ выполните скрипт:
Код:begin ClearQuarantine; if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; TerminateProcessByName('c:\program files\askpartnernetwork\toolbar\apnmcp.exe'); TerminateProcessByName('c:\program files\askpartnernetwork\toolbar\updater\tbnotifier.exe'); DelBHO('{D8278076-BC68-4484-9233-6E7F1628B56C}'); QuarantineFile('C:\Program Files\AskPartnerNetwork\Toolbar\searchhook.dll',''); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{ffbb88a9-c663-4b9b-9170-70fa0a5a2786}'); QuarantineFile('C:\Program Files\BrowseSmart\BrowseSmartBHO.dll',''); DelBHO('{4F524A2D-5350-4500-76A7-7A786E7484D7}'); QuarantineFile('C:\Program Files\AskPartnerNetwork\Toolbar\ORJ-SPE\Passport.dll',''); DelBHO('{4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47}'); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\APPLIC~1\Linkey\IEEXTE~1\iedll.dll',''); DelBHO('{11C8C9C0-D918-44C0-8B5E-D297DA42F2C7}'); QuarantineFile('C:\Program Files\Speed Test 127\ScriptHost.dll',''); DeleteService('bonanzadealslivem'); DeleteService('bonanzadealslive'); DeleteService('APNMCP'); QuarantineFile('c:\program files\askpartnernetwork\toolbar\updater\tbnotifier.exe',''); QuarantineFile('c:\program files\askpartnernetwork\toolbar\apnmcp.exe',''); QuarantineFile('C:\Program Files\Mobogenie\DaemonProcess.exe',''); QuarantineFile('C:\Program Files\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe',''); QuarantineFile('rhvstrxx.sys',''); Bc_QrSvc('rhvstrxx'); QuarantineFile('C:\Program Files\AskPartnerNetwork\Toolbar\apnmcp.exe',''); QuarantineFile('C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe',''); DeleteFile('C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe','32'); DeleteFile('C:\Program Files\Mobogenie\DaemonProcess.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon'); DeleteFile('c:\program files\askpartnernetwork\toolbar\apnmcp.exe','32'); DeleteFile('c:\program files\askpartnernetwork\toolbar\updater\tbnotifier.exe','32'); DeleteFile('C:\Program Files\AskPartnerNetwork\Toolbar\apnmcp.exe','32'); DeleteFile('C:\Program Files\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ApnTBMon'); DeleteFile('C:\Program Files\Speed Test 127\ScriptHost.dll','32'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\APPLIC~1\Linkey\IEEXTE~1\iedll.dll','32'); DeleteFile('C:\Program Files\AskPartnerNetwork\Toolbar\ORJ-SPE\Passport.dll','32'); DeleteFile('C:\Program Files\BrowseSmart\BrowseSmartBHO.dll','32'); DeleteFile('C:\Program Files\AskPartnerNetwork\Toolbar\searchhook.dll','32'); DeleteFile('C:\WINDOWS\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job','32'); DeleteFile('C:\WINDOWS\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job','32'); DeleteFileMask('C:\Program Files\Speed Test 127', '*', true); DeleteDirectory('C:\Program Files\Speed Test 127'); DeleteFileMask('C:\Program Files\BonanzaDealsLive', '*', true); DeleteDirectory('C:\Program Files\BonanzaDealsLive'); DeleteFileMask('c:\program files\askpartnernetwork', '*', true); DeleteDirectory('c:\program files\askpartnernetwork'); DeleteFileMask('C:\Program Files\BrowseSmart', '*', true); DeleteDirectory('C:\Program Files\BrowseSmart'); DeleteFileMask('C:\Program Files\Mobogenie', '*', true); DeleteDirectory('C:\Program Files\Mobogenie'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки
Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
Paula rhei.
Поддержать проект можно тут
Карантин отправил.
Логи во вложении.
Заранее спасибо
Добрый день. Подскажите, что делать дальше?
С расшифровкой не поможем, в т.ч. и платно
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\speed test 127\scripthost.dll - not-a-virus:WebToolbar.Win32.Agent.bcu
Уважаемый(ая) Elek-315, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
