Требуется помощь в расшифровке (email-trojanencoder@aol.com.ver-CL 1.3.0.0.id)

[Igpost 0]

Судя по всему заражение произошло после открытия письма и запуска присоединенного содержимого. Дата заражения 31.08.16 

Люди добрые поможите, пожалуйста...

CollectionLog-2016.09.04-17.25.zip

Изменено 4 сентября, 2016 пользователем Igpost

[thyrex 1 411]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Igpost 0]

Все вроде сделал по инструкции

Additional+FRST.rar

[thyrex 1 411]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Run: [] => [X]
2016-08-31 15:31 - 2016-08-31 15:31 - 0000082 _____ () C:\Program Files\SJTECXVEWD.GMR
CustomCLSID: HKU\S-1-5-21-2516218192-1074216688-168561018-1119_Classes\CLSID\{00b02060-f1f7-492d-a778-d4d2713fabd8}\InprocServer32 -> C:\Users\kadrr.RETRO-DISCOTEKA\AppData\Local\Temp\v8_F127_52.tmp => No File
CustomCLSID: HKU\S-1-5-21-2516218192-1074216688-168561018-1119_Classes\CLSID\{2967905f-ecf3-409f-8019-25b5fccfe72b}\InprocServer32 -> C:\Users\kadrr.RETRO-DISCOTEKA\AppData\Local\Temp\v8_F127_52.tmp => No File
CustomCLSID: HKU\S-1-5-21-2516218192-1074216688-168561018-1119_Classes\CLSID\{299d01f2-df53-4711-8286-1d450e29df33}\InprocServer32 -> C:\Users\kadrr.RETRO-DISCOTEKA\AppData\Local\Temp\v8_F127_52.tmp => No File
CustomCLSID: HKU\S-1-5-21-2516218192-1074216688-168561018-1119_Classes\CLSID\{32e34c63-2013-4ee9-b4fb-3bf4aa33aa25}\InprocServer32 -> C:\Users\kadrr.RETRO-DISCOTEKA\AppData\Local\Temp\v8_1D32_6a.tmp => No File
CustomCLSID: HKU\S-1-5-21-2516218192-1074216688-168561018-1119_Classes\CLSID\{60940425-4085-4f11-ab34-b9dacd636f4b}\InprocServer32 -> C:\Users\kadrr.RETRO-DISCOTEKA\AppData\Local\Temp\v8_5745_71.tmp => No File
CustomCLSID: HKU\S-1-5-21-2516218192-1074216688-168561018-1119_Classes\CLSID\{61a955b5-06dc-4371-bae4-c228777d6d87}\InprocServer32 -> C:\Users\kadrr.RETRO-DISCOTEKA\AppData\Local\Temp\v8_1D32_6a.tmp => No File
CustomCLSID: HKU\S-1-5-21-2516218192-1074216688-168561018-1119_Classes\CLSID\{680849bc-b86d-4669-9219-ad9ac13e4ddc}\InprocServer32 -> C:\Users\kadrr.RETRO-DISCOTEKA\AppData\Local\Temp\v8_5745_71.tmp => No File
CustomCLSID: HKU\S-1-5-21-2516218192-1074216688-168561018-1119_Classes\CLSID\{7b7c1f93-8199-4da7-88eb-e25a222c7a15}\InprocServer32 -> C:\Users\kadrr.RETRO-DISCOTEKA\AppData\Local\Temp\v8_5745_71.tmp => No File
CustomCLSID: HKU\S-1-5-21-2516218192-1074216688-168561018-1119_Classes\CLSID\{acad8a98-286a-420b-9fa3-02c0593917c9}\InprocServer32 -> C:\Users\kadrr.RETRO-DISCOTEKA\AppData\Local\Temp\v8_5745_71.tmp => No File
CustomCLSID: HKU\S-1-5-21-2516218192-1074216688-168561018-1119_Classes\CLSID\{b524799f-1122-4978-ad75-514c406b08b5}\InprocServer32 -> C:\Users\kadrr.RETRO-DISCOTEKA\AppData\Local\Temp\v8_1D32_6a.tmp => No File
CustomCLSID: HKU\S-1-5-21-2516218192-1074216688-168561018-1119_Classes\CLSID\{c127373e-5025-4630-a5be-23c4d86ac559}\InprocServer32 -> C:\Users\kadrr.RETRO-DISCOTEKA\AppData\Local\Temp\v8_5745_71.tmp => No File
CustomCLSID: HKU\S-1-5-21-2516218192-1074216688-168561018-1119_Classes\CLSID\{cbb584c0-d082-4ea4-930f-1a395092c8fa}\InprocServer32 -> C:\Users\kadrr.RETRO-DISCOTEKA\AppData\Local\Temp\v8_F127_52.tmp => No File
CustomCLSID: HKU\S-1-5-21-2516218192-1074216688-168561018-1119_Classes\CLSID\{ce3cc09b-5e51-47fe-88e6-ca2068d12657}\InprocServer32 -> C:\Users\kadrr.RETRO-DISCOTEKA\AppData\Local\Temp\v8_F127_52.tmp => No File
CustomCLSID: HKU\S-1-5-21-2516218192-1074216688-168561018-1119_Classes\CLSID\{cfe33012-70f5-428e-bedc-b26bf237e21c}\InprocServer32 -> C:\Users\kadrr.RETRO-DISCOTEKA\AppData\Local\Temp\v8_1D32_6a.tmp => No File
CustomCLSID: HKU\S-1-5-21-2516218192-1074216688-168561018-1119_Classes\CLSID\{fb668c1b-efe4-457c-9923-e0144150e9e1}\InprocServer32 -> C:\Users\kadrr.RETRO-DISCOTEKA\AppData\Local\Temp\v8_1D32_6a.tmp => No File
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Igpost 0]

Сделано

Fixlog.txt

[thyrex 1 411]

С расшифровкой помочь не сможем

[Igpost 0]

Я понял, обидно за главбуха у которого HR отожрал вирусом базы 1С.

Можно получить комментарий по возможным неправильным действиям с нашей стороны в данном случае (не считая конечно активацию самого вируса)?

Заранее спасибо

Изменено 5 сентября, 2016 пользователем Igpost

[thyrex 1 411]

Бездумный запуск всего полученного по почте и есть корень Ваших бед

[Igpost 0]

Это-то понятно - объяснение пользователя логично... Я же должна открывать письма с резюме

И все же, может не надо было лечить антивирусом (кстати файл карантин присутствует) и это позволило бы собрать больше информации? Просто выработать для себя порядок действий хочется на будущее.

[thyrex 1 411]

Информации по этому вирусу и так предостаточно