5 ответов в этой теме

[APogaevsky]

Добрый день!

Недавно, включив отображение скрытых файлов, заметил появившиеся каталоги со странными названиями:

"#процессом ydbcke доступа",

"`ydbckedosmuxsemwait",

"~дискуydbcke"

"~папкуydbcke"

"2ydbckeочистка"

"aydbcke неверен"

"zидентификаторы ydbcke отображенного"

- Каждый каталог содержит несколько файлов разных типов (JPG, GIF, TXT, ICO, XLSX, RTF) с кириллическими именами,

причем в каждом каталоге среди разных файлов обязательно есть файл Attention!.gif, который содержит надпись:

"This directory contains bait/decoy files that acts as a trap,for early ransomware detection.

In case of any clarifications required, please feel free to reach out to support@k7computing.com"

 

- Каталоги создаются в корне каждого раздела (2 на разделе D и 3 на разделе С) и два каталога в C:\Users\.

- Каталоги в C:\Users\ иногда не получается удалить. После удаления, каталоги через некоторое время появляются

на том же месте и том же количестве с другими, но аналогичными именами (фраза на кириллице+ydbcke...), 

имена и содержание файлов меняется. 

Для каждого каталога установлен атрибут "hidden".

 

Что удалось выяснить:

- По завершению работы каталоги пропадают (если подключить (по USB) жесткий диск к другому компьютеру, указанных каталогов на нем нет.

Сканирование системы штатным (PRO32) и свежескачанными утилитами cureit (dr.web) и KVRT (Касперского) результата не дало, 

так же не дало результата сканирование жесткого диска, подключенного через USB, на другом компьютере.

Прилагаю архивный файл с созданными каталогами.

 

Очень прошу специалистов помочь мне с этой проблемой...

 

Спасибо!

 

P.S.

Я не смог ознакомиться с условиями, на которые была ссылка в начале раздела, т.к., перейдя по ссылке, я получил сообщение о неудаче найти запрошенную страницу, и запрещение просматривать тему...

Прошу меня извинить если, что оказалось не так...

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

[Dmitry_rus]

Какой-то процесс, скорее всего, их создает. Давайте логи по правилам, а также неплохо сразу приложить лог FRST.
https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
https://remontka.pro/farbar-recovery-scan-tool/

[APogaevsky]

Какой-то процесс, скорее всего, их создает. Давайте логи по правилам, а также неплохо сразу приложить лог FRST.
https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
https://remontka.pro/farbar-recovery-scan-tool/

Прошу меня извинить, я подготовил необходимые логи, но каждый раз при попытке присоединить их, я получал сообщение в красном прямоугольнике, что файл слишком велик, хотя оба файла были в не более 200 мб (70мб и 59 мб).

Я решил выложить их на "Яндекс диск", а ссылку выслать. Вот она:

 

https://yadi.sk/d/l9pvNqb9zou_aQ

 

Там же я приложил архив с создаваемыми папками (может быть это в чем-то поможет)

Если этот способ передачи файлов не годится, напишите, как еще я могу их выслать?

 

Спасибо.
 

[Dmitry_rus]

Очевидно, это специально создаваемые антивирусом K7 (есть у вас такой?) файлы/папки для обнаружения действий шифровальщиков.

Разработчики этого антивируса предполагают, что если вдруг на ваш ПК проникнет шифровальщик и начнет модификацию файлов, то антивирус сможет отследить эту активность по модификации этих специально подготовленных файлов/папок.

Метод - так себе, если честно... )

[APogaevsky]

Очевидно, это специально создаваемые антивирусом K7 (есть у вас такой?) файлы/папки для обнаружения действий шифровальщиков.

Разработчики этого антивируса предполагают, что если вдруг на ваш ПК проникнет шифровальщик и начнет модификацию файлов, то антивирус сможет отследить эту активность по модификации этих специально подготовленных файлов/папок.

Метод - так себе, если честно... )

Добрый день! Смеялся до слез...

Да, в сиcтеме стоит антивирус PRO32 (он же K7). Я уже собирался лечить четыре компьютера...кошмар!

Даже не знаю, что и сказать.

Прошу меня извинить за беспокойство и ВЕЛИКОЕ Вам СПАСИБО!!!!

Все, перехожу на  dr.web.

 

Удач!

С УВАЖЕНИЕМ, Алексей.