Дмитрий Семик Опубликовано 17 января, 2017 Опубликовано 17 января, 2017 Добрый день. Перестали открываться файлы с расширением doc и xls, примерно на 6-10 машинах плюс 2 сервера. Касперский поймал вирус Удалено троянская программа Backdoor.Win32.Androm.mgfm C:\Users\zykova\AppData\Local\Temp\goodtdeaasdgb54.exe 16.01.2017 14:23:33 И на сетевых дисках все папки стали от сегодняшнего числа.На рабочем столе появился файл скрытый RU255-ECXZE-OZZTO-HOORT-GAZTH-HRGHT-RXXFF-KTOOX-RYYYY.KEY. При открытие xls файла пишет (действительный формат открываемого файла отличается от указываемого его разрешением имени файла).Хотя файл вроде не изменен не каким образом расширение тоже. Файлы с расширением doc тоже не открываются.В сети около 60 компьютеров но заражены выборочно не понятно по какому признаку заражение происходит.Если надо могу приложит файл ключа и сам ехе файл который поймал касперский. CollectionLog-2017.01.17-09.54.zip
SQ Опубликовано 17 января, 2017 Опубликовано 17 января, 2017 Здравствуйте,Сами прописывали прокси-сервер? R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.231.59.211:8080 R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies,(Default) = 110.231.59.211:8080 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Дмитрий Семик Опубликовано 17 января, 2017 Автор Опубликовано 17 января, 2017 Да прокси прописывал сам.Может нужны исходные файлы с вирусом и ключем ? Addition.txt FRST.txt
SQ Опубликовано 17 января, 2017 Опубликовано 17 января, 2017 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: CHR Plugin: (Shockwave Flash) - C:\Users\zykova\AppData\Local\Google\Chrome\Application\52.0.2743.82\gcswf32.dll => No File CHR Plugin: (Native Client) - C:\Users\zykova\AppData\Local\Google\Chrome\Application\52.0.2743.82\ppGoogleNaClPluginChrome.dll => No File CHR Plugin: (Chrome PDF Viewer) - C:\Users\zykova\AppData\Local\Google\Chrome\Application\52.0.2743.82\pdf.dll => No File 2017-01-16 10:27 - 2017-01-16 10:27 - 00001088 ___RH C:\Users\zykova\AppData\Roaming\RU255-ECXZE-OZZTO-HOORT-GAZTH-HRGHT-RXXFF-KTOOX-RYYYY.KEY 2017-01-16 10:27 - 2017-01-16 10:27 - 00001088 _____ C:\Users\zykova\Desktop\RU255-ECXZE-OZZTO-HOORT-GAZTH-HRGHT-RXXFF-KTOOX-RYYYY.KEY 2017-01-16 10:02 - 2017-01-16 10:28 - 72572104 _____ C:\Users\zykova\AppData\Roaming\916375716 2017-01-16 10:02 - 2017-01-16 10:28 - 72572104 _____ () C:\Users\zykova\AppData\Roaming\916375716 2017-01-16 10:27 - 2017-01-16 10:27 - 0001088 ___RH () C:\Users\zykova\AppData\Roaming\RU255-ECXZE-OZZTO-HOORT-GAZTH-HRGHT-RXXFF-KTOOX-RYYYY.KEY Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Может нужны исходные файлы с вирусом и ключем ? Отправьте пожалуйста по адресу newvirus@kaspersky.com.
SQ Опубликовано 17 января, 2017 Опубликовано 17 января, 2017 Если есть лицензия на продукты ЛК, то пробуйте создать запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525
Дмитрий Семик Опубликовано 18 января, 2017 Автор Опубликовано 18 января, 2017 (изменено) Доброе утро! Подскажите а в этой теме будет продолжение решения моей проблемы или на этом все? Подскажите какие файлы нужно отправить для запроса в ЛК для решения моей проблемы по дешифровке файлов ? Изменено 18 января, 2017 пользователем Дмитрий Семик
SQ Опубликовано 18 января, 2017 Опубликовано 18 января, 2017 Доброе утро! Подскажите а в этой теме будет продолжение решения моей проблемы или на этом все? Подскажите какие файлы нужно отправить для запроса в ЛК для решения моей проблемы по дешифровке файлов ? Мы не сможем помочь с расшифровкой данного типа шифровальщика, поэтому ранее было предложено обратиться в тех. поддержку ЛК. На данном этапе - на этом все. P.S. Не удаляйте каталог C:\FRST пока не решите вопрос с расшифровкой.
Дмитрий Семик Опубликовано 18 января, 2017 Автор Опубликовано 18 января, 2017 Подскажите еще такой вопрос как я понимаю вируса больше нет ? И могу ли я включать локальную сеть? или он снова начнет шифровать документы? И по какому принципу он работает (вирус)? И еще можете сказать как вирус называется ?
SQ Опубликовано 18 января, 2017 Опубликовано 18 января, 2017 В логах шифровальщика не нашел. Но по признаком похож на Spora. В ранее предоставленных логах не нашел угроз.P.S.А так если не открывать подозрительные письма, то скорее всего шифрование документов не должно повториться.
Дмитрий Семик Опубликовано 27 января, 2017 Автор Опубликовано 27 января, 2017 Добрый день. Есть продвижения по моей проблеме с вирусом ?
SQ Опубликовано 27 января, 2017 Опубликовано 27 января, 2017 Добрый день. Есть продвижения по моей проблеме с вирусом ? Ну мы с расшифровкой не сможем помочь. Что Вам интересует опишите по подробнее?
Автор ВладМак2020
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти