Михаил Емеличев Опубликовано 13 января, 2017 Share Опубликовано 13 января, 2017 (изменено) Доброго времени суток. Сегодня секретарь при прочтении почты словила вирус. Пришло письмо якобы от "управления образования" (работаю в школе) с графиком, был прикреплен .zip архив. Папки стали скрытыми, вместо них ярлыки с выполнением программы и открытия папки. Удалил ярлыки, снял атрибут скрытности, удалил экзешники и хтм с автозагрузки и рабочего стола, сделал откат системы на 12 января. Как выяснилось после восстановления - файлы (пдф, офис, архивы) зашифрованы и не открываются. Дата изменения - как раз время открытия "архива". Новые файлы нормально создаются и открываются, файлы скачанные после открытия вируса тоже нормально открываются. Та же схема была проделана на еще одном компьютере - необходимо ли создавать отдельную тему с логами второго пк? На втором пк не было отката. Просканировал KVRT - все чисто. Прикрепляю лог, сам "зип архив" и несколько файлов зашифрованных. письмо.JPG - скрин письма в почте (в спам отправил самостоятельно, после выявления причины проблемы) зашифрованные.rar - пример файлов, после зашифровки CollectionLog-2017.01.13-15.37.zip - Логи График на декаб.-январь_просмотр.zip - ВРЕДОНОСНЫЙ АРХИВ! НАСТОЯТЕЛЬНО РЕКОМЕНДУЮ ПЛОХО РАЗБИРАЮЩИМСЯ ПОЛЬЗОВАТЕЛЯМ НЕ СКАЧИВАТЬ И НЕ ОТКРЫВАТЬ ВРЕДОНОСНЫЙ АРХИВ!!! CollectionLog-2017.01.13-15.37.zip зашифрованные.rar Изменено 13 января, 2017 пользователем Sandor Убрал подозрительный файл Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 13 января, 2017 Share Опубликовано 13 января, 2017 Здравствуйте! необходимо ли создавать отдельную тему с логами второго пк?Да. Здесь дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Михаил Емеличев Опубликовано 13 января, 2017 Автор Share Опубликовано 13 января, 2017 Здравствуйте! необходимо ли создавать отдельную тему с логами второго пк?Да. Здесь дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. + Что-то еще необходимо? Shortcut.txt Addition.txt FRST.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 13 января, 2017 Share Опубликовано 13 января, 2017 В логах порядок. Вынужден огорчить, с расшифровкой не поможем. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Михаил Емеличев Опубликовано 13 января, 2017 Автор Share Опубликовано 13 января, 2017 В логах порядок. Вынужден огорчить, с расшифровкой не поможем. А куда-то еще можно обратиться? Если отправить как указано в этой теме? https://forum.kasperskyclub.ru/index.php?showtopic=48525&do=findComment&comment=774377 Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 13 января, 2017 Share Опубликовано 13 января, 2017 C:\Documents and Settings\admin\Local Settings\Temp\d512b289-37ce-0dd4-0fa4-41f99f63037e.exe C:\Documents and Settings\admin\Local Settings\Temp\goodtdeaasdgb54.exe заархивируйте с паролем virus, выложите на https://www.sendspace.com и пришлите ссылку на скачивание мне в личные сообщения Ссылка на комментарий Поделиться на другие сайты More sharing options...
Михаил Емеличев Опубликовано 16 января, 2017 Автор Share Опубликовано 16 января, 2017 C:\Documents and Settings\admin\Local Settings\Temp\d512b289-37ce-0dd4-0fa4-41f99f63037e.exe C:\Documents and Settings\admin\Local Settings\Temp\goodtdeaasdgb54.exe заархивируйте с паролем virus, выложите на https://www.sendspace.com и пришлите ссылку на скачивание мне в личные сообщения Ответил ЛС. Прошу прощения за сроки - на выходных не было доступа к рабочему пк. Ссылка на комментарий Поделиться на другие сайты More sharing options...
bga Опубликовано 16 января, 2017 Share Опубликовано 16 января, 2017 (изменено) Аналогичная ситуация. Сегодня человеку пришло письмо с вложением Платежка_счет_декабрь.zip, в архиве файл Перечень_документов_от_16 января_2017_года...._txt_.hta при запуске этого файла генерируется C:\Documents and Settings\User\Local Settings\Temp\goodtdeaasdgb54.exe и пошло, поехало. В результате на компе шесть десятков вирусов и куча зашифрованных файлов .doc и .xls Если получится создать расшифровщик, буду очень признателен. Изменено 16 января, 2017 пользователем bga Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 16 января, 2017 Share Опубликовано 16 января, 2017 @bga, не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи Ссылка на комментарий Поделиться на другие сайты More sharing options...
Михаил Емеличев Опубликовано 24 января, 2017 Автор Share Опубликовано 24 января, 2017 6. В качестве темы запроса укажите "Запрос на расшифровку файлов". Опишите максимально подробно Вашу проблему и прикрепите необходимые файлы. Желательно перед выполнением этого пункта проконсультироваться с консультантом на форуме. Консультант Вам подскажет, какие файлы могут оказаться полезными для вирусной лаборатории, что в конечном счете может сказаться на успехе расшифровки Ваших файлов. Создаю запрос в тех. поддержку, Подскажите пожалуйста, какие файлы прикрепить. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 24 января, 2017 Share Опубликовано 24 января, 2017 Несколько небольших зашифрованных и эти: C:\RUDA7-D5XFE-AETEO-RTOTO-OTARA-ZTROE-FYYYY.LST C:\RUDA7-D5XFE-AETEO-RTOTO-OTARA-ZTROE-FYYYY.HTML C:\RUDA7-D5XFE-AETEO-RTOTO-OTARA-ZTROE-FYYYY.KEY C:\Documents and Settings\admin\Application Data\3302021488 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
pvh Опубликовано 21 февраля, 2017 Share Опубликовано 21 февраля, 2017 Несколько небольших зашифрованных и эти: C:\RUDA7-D5XFE-AETEO-RTOTO-OTARA-ZTROE-FYYYY.LST C:\RUDA7-D5XFE-AETEO-RTOTO-OTARA-ZTROE-FYYYY.HTML C:\RUDA7-D5XFE-AETEO-RTOTO-OTARA-ZTROE-FYYYY.KEY C:\Documents and Settings\admin\Application Data\3302021488 Добрый день! Подскажите удалось ли расшифровать файлы зашифрованные, описываемым здесь вирусом Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 22 февраля, 2017 Share Опубликовано 22 февраля, 2017 @pvh, здравствуйте! Не пишите в чужой теме. Если нужна помощь, создайте свою и выполните Порядок оформления запроса о помощи удалось ли расшифроватьНет, и по всей видимости не скоро. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти