Зашифровались файлы у пользователя и в сетевых папках на сервере.

[szn]

Добрый день. По всей вероятности открыто письмо с вложенным архивом. После открытия на компьютере пользователя и в сетевые на сервере, папки с атрибутом скрытые, появились ярлыки папок.

Поменялась кодировка doc, docx, xls, pdf, ipg. Система работоспособна. Что-то можно сделать для восстановления и открытия документов.Спасибо!

FRST.rar

CollectionLog-2017.01.19-08.43.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Identities\Yghmhk.exe','');
 QuarantineFile('C:\Users\1288~1\AppData\Local\Temp\Adobe\Reader_sl.exe', '');
 DeleteFile('C:\Users\Лена\AppData\Roaming\Identities\Yghmhk.exe','32');
 DeleteFile('C:\Users\1288~1\AppData\Local\Temp\Adobe\Reader_sl.exe', '32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1876518041-2531887060-777165746-1001\Software\Microsoft\Windows\CurrentVersion\Run','Yghmhk');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1876518041-2531887060-777165746-1001\Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[szn]

Здравствуйте! Сделано.

KLAN-5682394873

Повторные логи.

 

CollectionLog-2017.01.20-08.12.zip

FRST.rar

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2017-01-18 12:21 - 2017-01-18 12:21 - 03766112 ____R C:\Users\Лена\AppData\Roaming\RU3F8-75XGF-ZHTKX-ATZTX-KKTXZ-HXETH-OKYYY.LST
2017-01-18 12:21 - 2017-01-18 12:21 - 00014492 ____R C:\Users\Лена\AppData\Roaming\RU3F8-75XGF-ZHTKX-ATZTX-KKTXZ-HXETH-OKYYY.HTML
2017-01-18 11:34 - 2017-01-18 12:42 - 05103192 _____ C:\Users\Лена\AppData\Roaming\3701697603
2017-01-18 11:34 - 2017-01-18 11:34 - 00001088 ____R C:\Users\Лена\AppData\Roaming\RU3F8-75XGF-ZHTKX-ATZTX-KKTXZ-HXETH-OKYYY.KEY
C:\Users\Лена\AppData\Local\Temp\8b66d8601ffbf4e28.exe
C:\Users\Лена\AppData\Local\Temp\e3676b5e-79ac-9f88-aa02-102ce3382fba.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Антивирус Касперского 6.0 для Windows Workstations - версия устаревшая и не поддерживается. Обновите до KES10

[szn]

Выполнено.

Fixlog.txt

Изменено 20 января, 2017 пользователем szn

[Sandor]

Создайте запрос на расшифровку. Папку C:\FRST пока не удаляйте.

[szn]

Спасибо! Запрос направлен.