Вирус зашифровал файлы в *.cbf

[forever23]

Здравствуйте!

 

Сегодня по электронной почте пришло письмо, к письму прилагался файл "Таблица (дальше сотрудник не помнит, было еще два слова).doc.exe", сотрудник его открыла. И все документы, изображения и архивы зашифровались в файлы с расширением *.cbf.

При проверке диска программой dr.web cureIt! было найдено 2 вируса, угроза -Trojan.LoadMoney.622.

Файл с шифровальщиком сотрудник удалила. Подскажите, пожалуйста, как расшифровать файлы без переустановки ОС.

Логи и зашифрованный файл прикладываю.

Заранее спасибо.

 

 

Запрещено выкладывать вирусы на форуме!

CollectionLog-2015.11.18-14.18.zip

email-Seven_Legion2@aol.com.jpg.ver-CL 1.2.0.0.id-BBROPKOXYHQKJSBKZXWFJSQZDMLJYWFETRPY-18.11.2015 9@13@489563695.randomname-ACXNTETIXRAJISBKYHGPENLUJSQZVQ.JHA.zip

Изменено 18 ноября, 2015 пользователем mike 1
Карантин в теме.

[mike 1]

Нету у вашего любопытного сотрудника больше файлов.

 

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[forever23]

Доброе утро.

Направляю файлы после сканирования.

FRST.txt

Addition.txt

[mike 1]

Антивирус Касперского 6.0 для Windows Workstations (HKLM\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1611 - Лаборатория Касперского)

Обновляйтесь до KES 10!

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [pr] => C:\Program Files\Таблица документов для бухгалтерии.doc.exe
AutoConfigURL: [HKLM] => hxxp://eltrasta.com/dateupto/timer2.rut
FF NetworkProxy: "autoconfig_url", "https://eltrasta.com/dateupto/timer.rut"
FF NetworkProxy: "type", 2
NETSVC: sftuvhe -> no filepath.
NETSVC: niufraylu -> no filepath.
2015-11-18 11:33 - 2015-11-18 11:33 - 0578814 _____ () C:\Program Files\desk.bmp
2015-11-18 11:33 - 2015-11-18 11:33 - 0094299 _____ () C:\Program Files\desk.jpg
StandardProfile\AuthorizedApplications: [C:\WINDOWS\system32\svchost.exe] => Enabled:iApPmgEGLEQAGxbsDjLLodNnRX
StandardProfile\AuthorizedApplications: [C:\WINDOWS\explorer.exe] => Enabled:iApPmgEGLEQAGxbsDjLLodNnRX

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

[forever23]

Все сделал, направляю результат.

Извините, пожалуйста, долго ли занимет времени, чтобы расшифровать данные? 

Просто нужно уезжать, если это долго, то лучше переустановлю систему.

 

Fixlog.txt

[mike 1]

 

 

Извините, пожалуйста, долго ли занимет времени, чтобы расшифровать данные? 

Расшифровка невозможна. Нет больше у Вас файлов. 

[forever23]

Спасибо