Перейти к содержанию

Вирус повредил все файлы формата xls, docx, jpg и так далее


Рекомендуемые сообщения

Всем доброго времени суток,
 
Сегодня бухгалтерия получила вот такое письмо, в спешке не подумав прошли по ссылки и запустили вирус, который повредил все файлы формата xls, docx, jpg и так далее.
 
От кого: Олеся Новикова <pyotrforsol@mail.ru>
Кому:
 test@mail.ru
Дата: Вторник, 18 апреля 2017, 10:08 +03:00
Тема: Долг

Поздравляю Вас со светлым праздником.
Пишу Вам по вопросу задолженности по оплате за еще январьскую(!) поставку.
Мы не в состоянии откладывать этот вопрос еще на один месяц, так как закрыли квартал в очень большом минусе.
Повторно отправляю документы по проблемному платежу через облако :
 удалено
Очень рассчитываю на Ваше понимание.

Заранее спасибо за сотрудничество!!!
ОАО Инвест Трейд

 
 
Согласно рекомендации: https://forum.kasper...showtopic=43640
1. Провел проверку ПК "Kaspersky Virus Removal Tools 2015"
 
2. Запустил Autologger.exe
 
3. Приложил логи с Malwarebytes

Вопрос: Возможно ли восстановить файлы в рабочее состояние?

CollectionLog-2017.04.21-10.13.zip

post-45020-0-03691900-1492752908_thumb.png

post-45020-0-56888200-1492752911_thumb.png

Malwarebytes.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Ярлыки

C:\Users\User\Desktop\Прочие\Методический\Рабочий стол\Новая папка (2)\Internet Explorer.lnk

C:\Users\User\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk

C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk

C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk

C:\Users\User\Desktop\Бактыгуль\скан.договора\!_Майра\Рабочий стол\iexplore.lnk

C:\Users\User\Desktop\Бактыгуль\скан.договора\!_Майра\Рабочий стол\Mozilla Firefox.lnk

C:\Users\User\Desktop\Рабочий стол\iexplore.lnk

C:\Users\User\Desktop\Рабочий стол\Mozilla Firefox.lnk

C:\Users\User\Desktop\Рабочий стол\!_160GB\!_Алмагуль\Рабочий стол\Google Chrome.lnk

C:\Users\User\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico

исправьте с помощью утилиты ClearLNK.

Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

На рабочем столе некоторые файлы формата .bk0

1) Использоавал check_browserd_LNK

 

2) Загрузил пути в Clear_LNK

 

3) Сделал проверку через Farbar Recovery Scan Tool 

Все логи добавлены

Addition.txt

Check_Browsers_LNK.log

ClearLNK-21.04.2017_13-52.log

post-45020-0-20581800-1492765791_thumb.png

FRST.txt

Shortcut.txt

Ссылка на сообщение
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
2017-04-18 14:33 - 2017-04-18 14:20 - 00001824 _____ C:\Users\User\Desktop\README-ISHTAR.txt
2017-04-18 14:20 - 2017-04-18 14:33 - 00003225 _____ C:\Users\User\AppData\Roaming\ISHTAR.DATA
2017-04-18 14:20 - 2017-04-18 14:33 - 00003225 _____ C:\ISHTAR.DATA
2017-04-18 14:20 - 2017-04-18 14:20 - 00001824 _____ C:\Users\User\AppData\Roaming\README-ISHTAR.txt
2017-04-18 14:20 - 2017-04-18 14:20 - 00001824 _____ C:\README-ISHTAR.txt
2016-02-12 15:28 - 2016-02-12 15:30 - 48920808 ____N (Mail.Ru) C:\Users\User\AppData\Local\Temp\5aoKN63CTxjz.exe
2016-02-12 15:26 - 2016-02-12 15:28 - 48920808 ____N (Mail.Ru) C:\Users\User\AppData\Local\Temp\R6oEAoqUaahQ.exe
2016-02-12 15:26 - 2016-02-12 15:28 - 48920808 ____N (Mail.Ru) C:\Users\User\AppData\Local\Temp\SYVvbg4FHTpq.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Следы адвари и вымогателя очищены. С расшифровкой, к сожалению, помочь не сможем.

 

Поврежденные файлы вместе с папкой C:\FRST отложите до лучших времен. Не исключено, что в обозримом будущем появится решение.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...