Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте. Помогите, пожалуйста. Вчера утром на компьютере вирусом были зашифрованы все офисные файлы и файлы 1С (1Сv8 даже не запускается). Картинка на рабочем столе была заменена на содержимое файла README.txt (этот файл появился во всех каталогах), также этот файл открывался при запуске Windows.

На всякий случай, парочка зашифрованных файлов, doc и xls: https://yadi.sk/d/tEwCpExIzDLxZ

 

ВНИМАНИЕ!
Все Ваши офисные файлы, архивы, видео и прочие документы были зашифрованы криптостойким алгоритмом, который не поддаётся расшифровке со стороны антивирусных компаний.
Для того, чтобы восстановить файлы, Вам необходимо связаться с нами по почте
На это у Вас есть 72 ЧАСА, по истечению данного срока все файлы начнут постепенно уничтожаться БЕЗ ВОЗМОЖНОСТИ ВОССТАНОВЛЕНИЯ!
semenov34@india.com
semenov34@india.com

 

ОС Windows XP SP3 x86

 

У зашифрованных файлов изменились имена на такие:

email-semenov34@india.com.ver-CL 1.3.1.0.id-ZDXLCYSDHBLNHJLHBDFYSUWYJLNPACYALNPQ-22.11.2016 9@58@304263776@@@@@A832-A405.randomname-CXOAQVALSKVMIAUCPHSJNFQZTLWFZS.OWZ.kow

email-semenov34@india.com.ver-CL 1.3.1.0.id-ZDXLCYSDHBLNHJLHBDFYSUWYJLNPACYALNPQ-22.11.2016 9@58@304263776@@@@@A832-A405.randomname-FVYASOZKNGIBNGZBDWPITMFYJCVOQS.VED.ghm

email-semenov34@india.com.ver-CL 1.3.1.0.id-ZDXLCYSDHBLNHJLHBDFYSUWYJLNPACYALNPQ-22.11.2016 9@58@304263776@@@@@A832-A405.randomname-YJLEQFTOXUNFLGJUWPZSXENVATLVIJ.TEP.kfn

email-semenov34@india.com.ver-CL 1.3.1.0.id-ZDXLCYSDHBLNHJLHBDFYSUWYJLNPACYALNPQ-22.11.2016 9@58@304263776@@@@@A832-A405.randomname-YTJLTPRLOQKVZVGRLEGITVXITMOBDF.RAI.ldj

 

 

Надеюсь на помощь...

CollectionLog-2016.11.23-15.01.zip

Опубликовано (изменено)

 

 

На это у Вас есть 72 ЧАСА, по истечению данного срока все файлы начнут постепенно уничтожаться БЕЗ ВОЗМОЖНОСТИ ВОССТАНОВЛЕНИЯ!

Врунишки :)

 

 
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
Изменено пользователем mike 1
Опубликовано (изменено)

Спасибо большое. Прикрепил.

 

Переделал с выключенным Касперским

Addition.txt

FRST.txt

Изменено пользователем Viktor-83
Опубликовано (изменено)
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-1935655697-1580436667-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=19773f9644391a6a1ea64e239989102d&text={searchTerms}
HKU\S-1-5-21-1935655697-1580436667-839522115-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=19773f9644391a6a1ea64e239989102d&text={searchTerms}
MSCONFIG\startupreg: A832-A405 => H:\Program Files\WinRar\Изменения в тарифном плане.exe
Folder: H:\Program Files\WinRar
Folder: H:\Documents and Settings\бухгалтер\Local Settings\Temp\
StandardProfile\AuthorizedApplications: [H:\WINDOWS\system32\svchost.exe] => Enabled:Windows Debugger 32
StandardProfile\GloballyOpenPorts: [9487:TCP] => Enabled:hxgfmm
Folder: H:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP16.0.1\SysWHist



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

 

Тема почищена. naviaga создавайте свою тему. В чужих темах писать не надо!

Изменено пользователем mike 1
Опубликовано

Увы, но никаких. У вас Касперский похоже был отключен на момент заражения. 

Опубликовано

Жалко. Да, Касперский был отключён. Спасибо за помощь. Винду восстанавливать не надо, всё равно под замену.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • S-e-r-s-h
      Автор S-e-r-s-h
      Добрый день. Хватанули троян, который зашифровал все документы таким образом: email-load180@aol.com.ver-CL 1.0.0.0.id-SBJKZCVMEGNQHJLOSVXZEGIMPSVXCEGJNQTU-02.09.2015 8@18@454361717.randomname-CNOCKUQNTOEVIVKQBSIWJZUKAQVPET.MGZ.cbf
      После заражения воспользовались восстановлением системы на предыдущий дату и проверили Kaspersky Virus Removal Tool 2015, а после, продленным Small Office Security. Вроде ничего не нашел.  Очень нужна ваша помощь. Как убедиться, что источника заразы больше нет и как расшифровать документы? CollectionLog-2015.09.07-11.35.zip
    • sidor
      Автор sidor
      Здравствуйте!
      Все как обычно, пришло письмо, якобы от налоговой, дальше открытие архива, без сохранения и проверки антивирусом.
      Результат-все файлы  MSO зашифрованы - названия начинаются с seven_legion@aol.com
      Что сделал:
      1. Прошелся по диску kav_rescue_10.
       по классификации каспера выявлено Win32.VBKryjetor.wes  в program files и в корневике системы.
      2. Удалил из автозагрузки окошко с предупреждением.
      3. Собрал логи.

         CollectionLog-2015.09.04-14.27
      Посмотрите, пожалуйста, может где еще дыры или зверье сидит?
       
      По поводу расшифровки: пробовал rectordecryptor и xoristdecryptor, не помогло.
      Может у кого есть дешифратор для моего случая? Плзз. А то девчонкам этим несчастным неделю на складе ревизию проводить....
       
      CollectionLog-2015.09.04-14.27.zip
    • Елена К
      Автор Елена К
      Получила письмо на почту, открыла прикрепленный файл, через пару часов на рабочем столе надпись "Твои файлы зашифрованы, отправь файл на почту Seven_legion2@aol.com ...."  Все файлы текстовые, все фото зашифрованы. Можно расшифровать фото?

      Прочитала предыдущее сообщение, сделала как там было написано, прикрепляю файлы. Очень надеюсь на помощь.
      CollectionLog-2015.09.05-22.02.zip
      Addition_05-09-2015_22-36-03.txt
      FRST_05-09-2015_22-36-03.txt
    • Klu4nik
      Автор Klu4nik
      Здравствуйте!
       
      Пользователь запустил файл из прикрепленного к письму с мэйл.ру архива wordpad.rar. Kaspersky WS не среагировал. Прошло шифрование, фото документы (много, важное), обои сменились на требование. После перезагрузки, KWS-ом автоматически был обнаружен троян: "Удалено троянская программа Trojan.Win32.Inject.vgcj C:\Program Files\explore.exe 27.08.2015 12:35:13".
       
      Спасибо за ваше время и желание помочь!
        CollectionLog-2015.08.27-13.23.zip
    • Арсен Омаров
      Автор Арсен Омаров
      Всем привет! Прошу Вашей помощи! Сегодня к моей сестре на почту пришло письмо по работе! Она открыла и запустила файл который..в общем во вложении прикрепляю фото рабочего стола на котором сообщение:
       Твои файлы зашифрованы, если хочешь все вернуть, отправь 1 зашифрованный файл на эту почту
      и т.д.
       
      так же высылаю логи..


      CollectionLog-2015.08.24-14.29.zip
×
×
  • Создать...