Вирус зашифровал базы 1с

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

HKLM\...\Run: [msiestp] => msiestp.exe

FF Extension: (MegaSmiles) - C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\ksx6fuwf.default\Extensions\itinfo@it-life.com [2013-12-16] [not signed]

FF Extension: (Speed Analysis 3) - C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\ksx6fuwf.default\Extensions\speedanalysis03@SpeedAnalysis.com.xpi [2014-01-31] [not signed]

FF Extension: (WebAlta Toolbar) - C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\ksx6fuwf.default\Extensions\{4933189D-C7F7-4C6E-834B-A29F087BFD24}.xpi [2014-01-23] [not signed]

FF Extension: (CinemaLoad) - C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\ksx6fuwf.default\Extensions\{deb24184-8668-490a-af07-b4fd27016097}.xpi [2014-01-23] [not signed]

FF Extension: (SimilarSites) - C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\ksx6fuwf.default\Extensions\{E71B541F-5E72-5555-A47C-E47863195841} [2014-01-31] [not signed]

FF Extension: (SweetPacks Toolbar for Firefox) - C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\ksx6fuwf.default\Extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi [2013-03-06] [not signed]

CHR Extension: (Speed Analysis 3) - C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\mbmpjbkgemhgalmeiigcdljkccfcafoj [2015-05-20] [UpdateUrl: hxxps://dl.addonupdater.com/speedanalysis03/update.chrome.xml] <==== ATTENTION

S1 BAPIDRV; system32\DRIVERS\BAPIDRV.sys [X]

2013-12-16 14:12 - 2013-12-16 14:12 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys

2013-12-16 13:33 - 2013-12-09 14:59 - 0049664 _____ () C:\Documents and Settings\admin\Application Data\closer.exe

2013-12-16 13:34 - 2013-12-16 13:34 - 0000006 _____ () C:\Documents and Settings\admin\Application Data\smw_inst

2013-09-19 20:10 - 2013-09-19 20:09 - 0030894 _____ () C:\Documents and Settings\admin\Application Data\speedanalysis.ico

2016-06-07 13:32 - 2016-06-07 14:31 - 0005949 _____ () C:\Documents and Settings\admin\Application Data\svchost.exe.tmp

Folder: C:\Documents and Settings\admin\Local Settings\Temp

C:\Documents and Settings\admin\Local Settings\Temp\БТР_.exe

C:\Documents and Settings\admin\Local Settings\Temp\default.exe

StandardProfile\AuthorizedApplications: [C:\Documents and Settings\admin\Application Data\svchost.exe] => Enabled:svchost.exe

StartBatch:

@echo off

set a7z=%ProgramFiles%\7-Zip\7z.exe

set otkuda=%systemdrive%\frst\Quarantine

set kuda=C:\

"%a7z%" a "%kuda%\quarantine.7z" -pvirus -mhe "%otkuda%\*"

Etc.

EndBatch:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• После окончания работы FRST будет создан архив quarantine.7z на диске С.
  

• Полученный архив отправьте на этот почтовый ящик: mike1@avp.su. В заголовке письма напишите "Карантин" и укажите ссылку на вашу тему. 
  

 

 

[NervusRerum]

Fixlog прикрепляю, quarantine.7z отправил.

Fixlog.txt

[mike 1]

 

C:\Documents and Settings\admin\Local Settings\Temp\bat36969.bat

 

Пришлите этот файл в архиве.

[NervusRerum]

Выслал на mike1@avp.su с темой письма "Карантин (файл bat36969.bat в архиве)"

[mike 1]

Лучше к сообщению в архиве прикрепите его. На почту файл не дошел.

[NervusRerum]

Файл bat36969.bat в архиве

bat36969.7z

[mike 1]

• Запустите Farbar Recovery Scan Tool двойным щелчком от имени Администратора.
  

• Когда программа запустится, скопируйте следующую информацию в окно поиска:
  

d2bc.exe

• Нажмите кнопку Search Files и подождите.
  

• Программа создаст лог-файл (Search.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

 

 

[NervusRerum]

Готово

Search.txt

[mike 1]

Антивирус не удалял какие-либо файлы?

[NervusRerum]

Мог и убрать, установлен ESET NOD32 BE. Машинка не моя, а отца. Когда случилась проблема меня не было рядом.

[mike 1]

Посмотрите карантин антивируса на наличие файла d2bc.exe. 

[NervusRerum]

Нашел. Все файлы, которые появились примерно во время атаки упаковал в архив. Прилагаю.

Изменено 17 октября, 2016 пользователем mike 1
скачал

[mike 1]

Нашел. Все файлы, которые появились примерно во время атаки упаковал в архив. Прилагаю.

Хорошо. Теперь нужно создать запрос  https://forum.kasperskyclub.ru/index.php?showtopic=48525. К запросу приложите в архиве E_N_I_G_M_A.RSA, d2bc.exe и несколько зашифрованных файлов.

[NervusRerum]

Понял. Спасибо)

[NervusRerum]

Не могу прикрепить код активации в личном кабинете. Пишет "Не удается обработать код активации. Пожалуйста, повторите попытку позже". Уже в течение 3-х часов.