Зашифровались файлы

[Master555]

Все файлы стали такими:

 

 

email-ivan_fedorov16@aol.com.ver-CL 1.2.0.0.id-BEHKMQSUXZCEHKMPRVXZCEHJMORTVYBEGILN-04.02.2016 11@28@156995331.randomname-FJLPSUXZCFHKMPSUXZCEHJMPRUWZBD.GIM.cbf

CollectionLog-2016.02.04-13.10.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\F79C~1\APPLIC~1\msipcot.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\reatikedelgu.exe', '');
 DeleteFile('C:\DOCUME~1\F79C~1\APPLIC~1\msipcot.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\reatikedelgu.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2219854693');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','reatikedelgu');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(5);
RebootWindows(true);
end.
 

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Roman_Five]

+
проверьте на virustotal.com файл 

C:\Program Files\1C\Вся информацию о ходе судебного производства.exe

ссылку на результат проверки приложите

[Master555]

Файл на касперский отправили (сколько ждать примерно ответа?).

Такого файла нет (Вся информацию о ходе судебного производства.exe), есть только такие прикрепил в rar.

 

Повторный лог

1C.rar

CollectionLog-2016.02.04-18.02.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Master555]

Файлы

[KLAN-3711924744]

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru"

 

Вышлю заново им.

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
FF NetworkProxy: "autoconfig_url", "https://ertaco.com/cols/accepted.ruo"
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

[Master555]

Архив quarantine.zip требует пароль, который сделала AVZ, я его не знаю и не знают на newvirus@kaspersky.com

Fixlog.txt

[mike 1]

 

Антивирус Касперского 6.0 для Windows Workstations (HKLM\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1424 - Лаборатория Касперского)

 

Вот собственно и причина почему в некоторых организациях файлы шифруются. Антивирус уже давно снят с поддержки. К нему и базы уже не выпускают. Обновляйтесь до KES 10! Переход на новую версию бесплатный.

 

С расшифровкой не поможем.

[Master555]

У нас на 6 версии базы обновляются через интернет, тогда почему не поддерживаются?

[Sandor]

Уточняю: поддерживается с ограничениями до 31.12.2016

 

http://support.kaspersky.ru/support/lifecycle#b2b.block0.wks6mp4

 

В современных версиях есть функция защиты от шифрования.

[mike 1]

 

 

Уточняю: поддерживается с ограничениями до 31.12.2016

Версия 6.0.4.1611, но не 6.0.4.1424 Хотя толку от версии 6.0.4.1611 тоже никакого. 

[Master555]

Какую версию KES10 ставить для сервера и рабочих станций. Или лучше 8?

[mike 1]

Какую версию KES10 ставить для сервера и рабочих станций. Или лучше 8?

KES 10 и лучше самую последнюю. 

 

https://forum.kasperskyclub.ru/index.php?showtopic=48525