Перейти к содержанию

По почте пришел вирус, который зашифровал файлы

andrew1966
 Поделиться

Рекомендуемые сообщения

andrew1966

andrew1966

Опубликовано
Опубликовано

Здравствуйте уважаемые консультанты!

 

Наш сотрудник по неопытности открыл письмо с вирусом. В результате работы вируса зашифровались файлы документов на компьютере и на сетевом устройстве (сервере), к которому он был в это время подключен. Имена файлов стали иметь вид: email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-VWWXYZABBBCDEEFFGGHIJJKKLLMNOOOPQQRS-21.09.2015 9@23@348638788.randomname-ADEFHIJJJKLMNNNOPQRRRSTUUVWWXX.ZAA.cbf

 

Вирус изменил картинку рабочего стола с указанием адреса эл. почты (Seven_Legion2@aol.com).

 

Компьютер был отключен от локальной сети, проверен утилитами CureIt и Kaspersky Virus Removal Tool 2015. Найденные вирусы удалены.

 

Автолог выполнялся также на компьютере отключенном от сети, т.к. не было уверенности что утилиты удалили все вирусы.

 

Прикрепляю коллекцию логов и картинку рабочего стола.

 

Помогите разшифровать файлы!

Заранее СПАСИБО.

 

Андрей.

 

CollectionLog-2015.09.21-14.58.zip

post-35905-0-78259900-1442839986_thumb.jpg

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
DeleteFile('C:\Windows\system32\wesGoneekas_mB.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MqEKSqiTDwDaQsRxvlmJHnsJFC');
DeleteFile('C:\Users\0D04~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
DeleteFile('C:\PROGRA~2\Mozilla\tozkafe.exe','32');
DeleteFile('C:\Windows\system32\Tasks\kwhycpa','32');
ExecuteSysClean;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

mike 1

mike 1

Опубликовано
Опубликовано

Пока выполняйте рекомендации из 2 сообщения. 

thyrex

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2015-09-21 12:14 - 2015-09-21 12:14 - 0927422 _____ () C:\Program Files\desk.bmp
2015-09-21 12:14 - 2015-09-21 12:14 - 0153845 _____ () C:\Program Files\desk.jpg
2015-09-21 10:03 - 2015-09-21 10:03 - 0000064 _____ () C:\Program Files\GLUDYWUMUB.PNE
2015-09-21 09:23 - 2015-09-21 09:23 - 0000064 _____ () C:\Program Files\VVVCZKMYWX.AVK
2015-09-21 11:41 - 2015-09-21 12:14 - 0000081 _____ () C:\Program Files\ZUQFYXQEHI.ACV
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.

andrew1966

andrew1966

Опубликовано
  • Автор
Опубликовано

А компьютер в сетку можно включать? Зараза вся убита?

thyrex

thyrex

Опубликовано
Опубликовано

Активного шифровальщика в логах уже не было

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • CHEAX
      [РЕШЕНО] Два файла dwm.exe, один из которых вирус.
      Автор CHEAX
      Один из файлов грузит систему, ни один антивирус поймать не может, в том числе Касперский Премиум. На данном форуме видел подобные темы, uVS скачан. Просьба помочь в решении вопроса.

    • zsvnet
      файлы зашифрованы вирусом
      Автор zsvnet
      obrazec.zipAddition.txtShortcut.txtFRST.txtДобрый день! Зашифровали файлы.
      Скорее всего проникли через RDP. Исходный ПК неработоспособен. Диск подключен к другому ПК и на нем запускали FRST.
    • orbita06
      вирус зашифровал файлы
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
    • Galymzhan
      зашифровали файлы, оставили почту platishilidrocish@fear.pw
      Автор Galymzhan
      На комп зашли через RD и зашифровали файлы, оставили почту platishilidrocish@fear.pw для расшифровки требуют плату, требования и шифрованные файлы закрепил
      FRST.zip Требования.zip зашифрованные файлы.zip
    • decoy4ik
      Вирусом зашифрованы важные файлы.
      Автор decoy4ik
      Добрый день, поймали вирус-шифровальщик, есть ли возможность расшифровки? Логи и архив с файлами прикреплен. Файл с требованием к сожалению был сразу удален.Addition.txtFRST.txt
      Desktop.rar
×
×
  • Создать...