Файлы зашифрованы email-trojanencoder@aol.com.ver-CL 1.3.0.0.id

[Bonifaciy]

Добрый день. Сегодня на одном из компьютеров сотрудница открыла "вложение" в письме, что привело к заражению и шифрованию всех документов на компьютере.

На самом деле "вложение" оказалось ссылкой "kustomcruizers.com/mail.scr"

Прикрепляю отчеты AutoLogger и Farbar Recovery Scan Tool. Также прикрепляю архив с вирусом.

Очень надеюсь на помощь.

Addition.txt

CollectionLog-2016.08.31-15.00.zip

FRST.txt

Изменено 31 августа, 2016 пользователем Sandor
Не прикрепляйте то, что не просили!

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Восстановление системы включите.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\...\Run: [sopropool] => C:\Program Files\codec.exe
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-45595996-1819605753-1762875914-2289\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/search
HKU\S-1-5-21-45595996-1819605753-1762875914-2289\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/search
HKU\S-1-5-21-45595996-1819605753-1762875914-2289\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://webalta.ru/search
SearchScopes: HKU\S-1-5-21-45595996-1819605753-1762875914-2289 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
Toolbar: HKU\S-1-5-21-45595996-1819605753-1762875914-2289 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
2016-08-31 10:22 - 2016-08-31 11:11 - 00927422 _____ C:\Program Files\desk.bmp
2016-08-31 09:33 - 2016-08-31 10:22 - 00000080 _____ C:\Program Files\KTPYJGHFSZ.MEZ
2016-08-31 10:22 - 2016-08-31 11:11 - 0055767 _____ () C:\Program Files\desk.jpg
AlternateDataStreams: C:\Documents and Settings\e.pankratova\Local Settings\Application Data:wa [146]
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Уточните у администратора KES на момент заражения была ли включена защита от шифровальщика?

[Bonifaciy]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Восстановление системы включите.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\...\Run: [sopropool] => C:\Program Files\codec.exe
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-45595996-1819605753-1762875914-2289\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/search
HKU\S-1-5-21-45595996-1819605753-1762875914-2289\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/search
HKU\S-1-5-21-45595996-1819605753-1762875914-2289\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://webalta.ru/search
SearchScopes: HKU\S-1-5-21-45595996-1819605753-1762875914-2289 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
Toolbar: HKU\S-1-5-21-45595996-1819605753-1762875914-2289 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
2016-08-31 10:22 - 2016-08-31 11:11 - 00927422 _____ C:\Program Files\desk.bmp
2016-08-31 09:33 - 2016-08-31 10:22 - 00000080 _____ C:\Program Files\KTPYJGHFSZ.MEZ
2016-08-31 10:22 - 2016-08-31 11:11 - 0055767 _____ () C:\Program Files\desk.jpg
AlternateDataStreams: C:\Documents and Settings\e.pankratova\Local Settings\Application Data:wa [146]
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Уточните у администратора KES на момент заражения была ли включена защита от шифровальщика?

 

На момент заражения, защита от шифровальщика, скорее всего, была выключена, т.к. слетела лицензия KES.

Fixlog.txt

[Бусинка]

У меня такая же проблема,вы можете мне помочь тоже?

[Sandor]

@Бусинка, внимательно прочтите Порядок оформления запроса о помощи и создайте свою тему.

 

защита от шифровальщика, скорее всего, была выключена

Печально.

 

При наличии лицензии создайте запрос на расшифровку.

[Бусинка]

Я там ничего не поняла,но это и не актуально,вы же помогаете только тем.у кого есть лицензия,я правильно поняла?

[Sandor]

я правильно поняла?

Нет, всем.

[Бусинка]

 

я правильно поняла?

Нет, всем.

 

Вот у вас в запросе на расшифровку написано:"Уважаемые пользователи! Напоминаем Вам, что с 9 ноября 2015 года запросы на расшифровку файлов после действий троянцев-шифровальщиков создаются исключительно через личный кабинет, или через аккаунт Kaspersky Company. Помните, что для создания запроса на расшифровку файлов в личном кабинете нужно прикрепить действующий коммерческий код активации на любой из продуктов Лаборатории Касперского. Ниже приведена последовательность действий того, как правильно создать запрос на расшифровку файлов:"

[Sandor]

Вы не то читаете, прочтите еще раз Порядок оформления запроса о помощи (особенно п.3). А то, что Вы пишете в чужой теме - нарушение правил.

Изменено 31 августа, 2016 пользователем Sandor

[Bonifaciy]

Т.е. мне дальше искать решение проблемы в корпоративном разделе?

Зарегистрировался, ключ выслал. Но ответное письмо что-то не торопится.

[Sandor]

Наберитесь терпения.