dmn001 1 Опубликовано 20 января, 2015 Share Опубликовано 20 января, 2015 (изменено) Здравствуйте, со слов пользователя запустил что-то из почты..... После этого все файлы с данными оказались зашифрованны. К именам файлов добавилось .zimflsi Изменение расширения не помагает. Никаких требований, ни в текстовых файлах ни на экране не наблюдается. Лог прилогаю, примеры файлов тоже и файл который возможно был открыт из почты и привел к изменению файлов (Virus_hyperphagia.zip). Заранее спасибо, Дмитрий. Сообщение от модератора Карантин из темы удален CollectionLog-2015.01.20-14.47.zip files.zip Изменено 20 января, 2015 пользователем thyrex Карантин в теме. Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 20 января, 2015 Share Опубликовано 20 января, 2015 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Windows\system32\regedit.exe',''); QuarantineFile('C:\Users\PEP\AppData\Roaming\msxte.exe',''); DeleteFile('C:\Users\PEP\AppData\Roaming\msxte.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1377661786'); DeleteFile('C:\Windows\system32\regedit.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). O4 - HKLM\..\Run: [Regedit32] C:\Windows\system32\regedit.exe O4 - HKCU\..\Run: [1377661786] C:\Users\PEP\AppData\Roaming\msxte.exe Сделайте новые логи Автологгером. Ссылка на сообщение Поделиться на другие сайты
dmn001 1 Опубликовано 20 января, 2015 Автор Share Опубликовано 20 января, 2015 Три раза отправлял файл в лабораторю и с паролем и без пишут что файл не доходит, остальное сделал: Сообщение от модератора Mark D. Pearlstone Не выкладывайте карантин на форум. Файл удалён. CollectionLog-2015.01.20-16.03.zip hijackthis.log Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 20 января, 2015 Share Опубликовано 20 января, 2015 Логи в порядке. С расшифровкой не поможем. Ссылка на сообщение Поделиться на другие сайты
dmn001 1 Опубликовано 20 января, 2015 Автор Share Опубликовано 20 января, 2015 Спасибо. Но меня как раз интерисует именно расшифровка файлов. Поиск в интернете ни по расширению (возможно оно произвольное), ни по описанию ничего не дал. Использование утилит типа RectorDecryptor без ключей тоже не помагает, нет даже именно названия вируса который это наделал. На машине были найдены Trojan-Downloader.Win32.Cabby.cbtu и Trojan.Win32.Fsysna.aynr , но насколько я понимаю они файлы не изменяют. Вот и прошу если не можете помочь именно с расшифровкой, то подсказкой, может что-то похожее было или там ключи запуска для RectorDecryptor есть, или хотябы как найти название того что это натворило, может они не крипто программой зашифрованны, а просто байт какой нибуть изменен. Заранее спасибо, Дмитрий Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 20 января, 2015 Share Опубликовано 20 января, 2015 http://forum.kaspersky.com/index.php?showtopic=314786&view=findpost&p=2352150 пробуйте обратиться в ТП через My Kaspersky Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 20 января, 2015 Share Опубликовано 20 января, 2015 (изменено) Вот и прошу если не можете помочь именно с расшифровкой, то подсказкой, может что-то похожее было или там ключи запуска для RectorDecryptor есть, или хотябы как найти название того что это натворило, может они не крипто программой зашифрованны, а просто байт какой нибуть изменен. Увы, но без шансов. Файлы зашифрованы при помощи CTB Locker и техподдержка ЛК вам тоже не поможет. Почаще делайте бекапы. Изменено 20 января, 2015 пользователем mike 1 Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 21 января, 2015 Share Опубликовано 21 января, 2015 Дополнение: http://forum.kaspersky.com/index.php?showtopic=314971 1 Ссылка на сообщение Поделиться на другие сайты
dmn001 1 Опубликовано 22 января, 2015 Автор Share Опубликовано 22 января, 2015 Жаль, но все равно спасибо, за уделенное время. 1 Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 23 января, 2015 Share Опубликовано 23 января, 2015 Бекапы ценной информации почаще делайте, а вообще лучше будет, если персонал хоть немного обучат азам информационной безопасности. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти