поймали шифровальщика

[sidor]

Здравствуйте!
Все как обычно, пришло письмо, якобы от налоговой, дальше открытие архива, без сохранения и проверки антивирусом.

Результат-все файлы  MSO зашифрованы - названия начинаются с seven_legion@aol.com

Что сделал:

1. Прошелся по диску kav_rescue_10.

 по классификации каспера выявлено Win32.VBKryjetor.wes  в program files и в корневике системы.

2. Удалил из автозагрузки окошко с предупреждением.

3. Собрал логи.

   CollectionLog-2015.09.04-14.27

Посмотрите, пожалуйста, может где еще дыры или зверье сидит?

 

По поводу расшифровки: пробовал rectordecryptor и xoristdecryptor, не помогло.

Может у кого есть дешифратор для моего случая? Плзз. А то девчонкам этим несчастным неделю на складе ревизию проводить....

 

CollectionLog-2015.09.04-14.27.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[sidor]

 

Скачайте Farbar Recovery Scan Tool  и далее

 

 

вот,  выкладываю.

 

Addition.txt

FRST.txt

[thyrex]

C:\Program Files\TDJWZDHBGF.ACZ удалите вручную.

 

С расшифровкой не поможем.

[sidor]

Спасибо.