Доброго времени суток!
Пойман вирус, в итоге зашифрованы файлы фото, тексты, базы данных.
Подскажите, есть ли возможность восстановить информацию, или придется обращаться к злоумышленникам?
Доброго времени суток!
Пойман вирус, в итоге зашифрованы файлы фото, тексты, базы данных.
Подскажите, есть ли возможность восстановить информацию, или придется обращаться к злоумышленникам?
Уважаемый(ая) БСергейБ, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\1\appdata\roaming\acestream\engine\ace_engine.exe',''); QuarantineFile('C:\Users\1\AppData\Local\Temp\viusmyb.exe',''); DelBHO('{30F9B915-B755-4826-820B-08FBA6BD249D}'); QuarantineFile('C:\Program Files\ConduitEngine\ConduitEngine.dll',''); QuarantineFile('C:\Windows\system32\sysunk32.exe',''); QuarantineFile('c:\users\1\appdata\local\temp\ardkfwu.exe',''); QuarantineFile('C:\Users\1\AppData\Roaming\netprotocol.exe',''); QuarantineFile('C:\Windows\system32\BeTwinServiceVS.exe',''); SetServiceStart('BeTwinService', 4); DeleteService('BeTwinService'); QuarantineFile('C:\Windows\System32\Slsxxx.dll',''); TerminateProcessByName('c:\windows\system32\betwinservicevs.exe'); QuarantineFile('c:\windows\system32\betwinservicevs.exe',''); DeleteFile('c:\windows\system32\betwinservicevs.exe','32'); DeleteFile('C:\Windows\system32\BeTwinServiceVS.exe','32'); DeleteFile('C:\Users\1\AppData\Roaming\netprotocol.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Netprotocol','command'); DeleteFile('c:\users\1\appdata\local\temp\ardkfwu.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','c:\users\1\appdata\local\temp\ardkfwu.exe'); DeleteFile('C:\Windows\system32\sysunk32.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32'); DeleteFile('C:\Program Files\ConduitEngine\ConduitEngine.dll','32'); DeleteFile('C:\Users\1\AppData\Local\Temp\viusmyb.exe','32'); DeleteFile('C:\Windows\system32\Tasks\ybmhtmd','32'); DeleteFile('C:\Users\1\appdata\roaming\acestream\engine\ace_engine.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Сделайте лог CheckBrowserLnk
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Сделайте лог CheckBrowserLnk[/QUOTE]
Вот...
- Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
- Распакуйте архив с утилитой в отдельную папку.
- Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
- Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
- Прикрепите этот отчет к своему следующему сообщению.
Поместите в карантин МВАМ всё найденное
Удалите вручную C:\Users\1\AppData\Roaming\.ACEStream
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Отчет
С расшифровкой не поможем
http://virusinfo.info/announcement.php?f=46&a=52
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Возможно ли вообще расшифровать файлы после проведенных лечений? Смущает то, что в разных папках лежат разные паблик-ключи, которые нужны для обращения. Если кто-то имеет опыт обращения к злоумышленникам-отзовитесь!!!
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
после работы вируса в некоторых каталогах появились два файла:один картинка с расширением .bmp, (которые в приложении), второй с таким же именем но расширением .txt. Эти файлы(с расширением.txt) nod32 определил как вирус и заблокировал(nod.rar). В них тоже самое, что на картинке, но в текстовом формате. Существуют каталоги без образования этой пары файлов, но с зашифрованными файлами, а так же есть каталоги, где один файл не зашифрован(?), а остальные зашифрованы. Есть на флэшке само письмо из почты, которое запустило весь процесс, и пара файлов (.bmp+.txt)без обработки антивирусом, могу прислать. Сообщите только куда, не хочется рассылать вирус в открытый доступ. Ну и повторюсь, кто может помочь-отпишитесь, очень надо!
Не вижу каких-то отличий в написанном на картинках (может быть что-то упустил)
Помогут в расшифровке только злодеи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
В ключах последнии группыНе вижу каких-то отличий в написанном на картинках
Есть опыт?Помогут в расшифровке только злодеи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Мне присылали купленный другим пострадавшим дешифратор для этого вируса. Но без уникального ключа он бесполезен
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 21
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) БСергейБ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.