Как и у большого числа проблема в зашифрованных медиа-файлах и документах, после работы "вредной" программы, получивших расширение .AES256. В одной из тем упомянули, что можно выложить приведенную ниже информацию, и, возможно, получить нужную "пилюлю". В моем случае:
HashKey: 9870acdb7b2d24e4616f15afd10458a5
ID: 5626
Спасибо заранее.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) yakovenko, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Винт с зашифрованной информацией попал ко мне уже после "лечения" каким-то специалистом, работаю с образом!
Ссылка на архив с файлами-образцами, нашел зашифрованные и их первоначальное состояние: http://rghost.ru/58539795
Последний раз редактировалось yakovenko; 15.10.2014 в 19:32.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Прилагаю логи, извените, что не сразу!
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\suptab\windowssupportdll32.dll',''); QuarantineFile('C:\Program Files\suptab\search~2.dll',''); QuarantineFile('C:\Program Files\suptab\search~1.dll',''); QuarantineFile('C:\Program Files\suptab\dpinterface32.dll',''); DelBHO('{3e0c6211-7ba9-426f-a90f-eb4ae54edc43}'); DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}'); QuarantineFile('C:\Program Files\SupTab\SupTab.dll',''); QuarantineFile('C:\Program Files\NeXTCCouap\9KdhyIw6g80QVM.dll',''); TerminateProcessByName('c:\programdata\iepluginservices\pluginservice.exe'); QuarantineFile('c:\programdata\iepluginservices\pluginservice.exe',''); DeleteFile('c:\programdata\iepluginservices\pluginservice.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TornTv Downloader'); DeleteFile('C:\Program Files\NeXTCCouap\9KdhyIw6g80QVM.dll','32'); DeleteFile('C:\Program Files\SupTab\SupTab.dll','32'); DeleteFile('C:\Windows\system32\Tasks\DoctorPC_Popup','32'); DeleteFile('C:\Windows\system32\Tasks\DoctorPC_Start','32'); DeleteFile('C:\Program Files\suptab\dpinterface32.dll','32'); DeleteFile('C:\Program Files\suptab\search~1.dll','32'); DeleteFile('C:\Program Files\suptab\search~2.dll','32'); DeleteFile('C:\Program Files\suptab\windowssupportdll32.dll','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Помог rakhnidecryptor. Спасибо всем откликнувшимся!
Написанное в рецепте выполните. У Вас полно другой нечисти
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Новые логи
Где логи МВАМ и RSIT?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Логи MBAM
Поместите в карантин МВАМ всё, кроме
Сделайте лог ComboFixКод:CrackTool.Agent, C:\Program Files\Dr.Fone_Temp\patch.exe, , [510faf68443822145b0af93c0ef338c8],
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Добрый день! log ComboFix.
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\roboot.exe Driver:: Folder:: c:\users\Backup\AppData\Roaming\SkypEmoticons c:\programdata\YoutubeAdBlOeCCkee c:\program files\YoutubeAdBlOeCCkee c:\programdata\GooSave c:\program files\GooSave c:\programdata\1134b83117fe5c0e c:\users\Backup\AppData\Roaming\Systweak Registry:: FileLook:: DirLook:: c:\programdata\Leawo c:\users\Backup\AppData\Roaming\Leawo c:\program files\Leawo c:\programdata\iSkysoft c:\program files\iSkysoft
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
log после выполнения скрипта.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 21
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\nextccouap\9kdhyiw6g80qvm.dll - not-a-virus:AdWare.Win32.Agent.fznq ( BitDefender: Gen:Variant.Adware.Graftor.153998 )
- c:\program files\suptab\windowssupportdll32.dll - not-a-virus:AdWare.Win32.Agent.efld ( BitDefender: Adware.SearchProtect.H, AVAST4: Win32:SupTab-C [Adw] )
- c:\programdata\iepluginservices\pluginservice.exe - not-a-virus:AdWare.Win32.Agent.eqwa ( DrWEB: Trojan.Click3.9479, BitDefender: Adware.Agent.OKO, AVAST4: Win32:SupTab-C [Adw] )
Уважаемый(ая) yakovenko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
