scarab Файлы зашифрованы .bomber

[Sirazzi]

Здравствуйте. Зашифрованы документы Word, расширение .bomber. Нужна помощь. Спасибо.

CollectionLog-2018.06.19-11.34.zip

[regist]

@Sirazzi,

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\Common Files\EOS\UpdateTask\UpdateTask.exe', '');
 QuarantineFile('c:\windows\system32\nucfqoh.dll', '');
 DeleteFile('c:\windows\system32\nucfqoh.dll', '32');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OYTfqa');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OYTfqa');
 RegKeyDel('hklm', 'SYSTEM\CurrentControlSet\Services\OuFbizo');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[Sirazzi]

@Sirazzi,

Здравствуйте!

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\Common Files\EOS\UpdateTask\UpdateTask.exe', '');
 QuarantineFile('c:\windows\system32\nucfqoh.dll', '');
 DeleteFile('c:\windows\system32\nucfqoh.dll', '32');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OYTfqa');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OYTfqa');
 RegKeyDel('hklm', 'SYSTEM\CurrentControlSet\Services\OuFbizo');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

KLAN-8252076419 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

UpdateTask.exe

 

В следующих файлах обнаружен вредоносный код:

nucfqoh.dll - Trojan.Win32.Dimnie.vt

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

 

VirusDetector

http://virusinfo.info/virusdetector/report.php?md5=195673DC5012A67E2EC90C633B4969AB

CollectionLog-2018.06.19-14.28.zip

[regist]

@Sirazzi, пример зашифрованного файла прикрепите.

[Sirazzi]

@Sirazzi, пример зашифрованного файла прикрепите.

example.7z

[regist]

@Sirazzi, увы, с рассшифровкой помочь не сможем.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.