Зашифрованы все файлы Excel и Word

[Алексей Стамберский]

Зашифровались все файлы Excel и Word, на всех разделах диска. Самое странное нет никакого файла говорящего о том кто зашифровал и куда обращаться, только файл ключа. Помогите определить и что делать, все подчастую зашифровалось

зашифрованные_файлы.rar

Изменено 19 января, 2017 пользователем mike 1
Карантин в теме

[mike 1]

https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[Алексей Стамберский]

Собрал лог 

CollectionLog-2017.02.11-14.07.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Алексей Стамберский]

Сделал отчет

FRST.txt

Addition.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  Toolbar: HKU\S-1-5-21-1801674531-651377827-1417001333-1003 -> No Name - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} -  No File
  Toolbar: HKU\S-1-5-21-1801674531-651377827-1417001333-1003 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  2017-01-17 08:38 - 2017-01-17 08:49 - 17704656 _____ () C:\Documents and Settings\driver\Application Data\3764547533
  2013-11-20 20:21 - 2017-01-16 13:04 - 0019418 ____C () C:\Documents and Settings\driver\Application Data\ex_log.txt
  MSCONFIG\startupreg: winrar => C:\Documents and Settings\driver\Local Settings\Application Data\winrar.exe
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

[Алексей Стамберский]

прикрепил

Fixlog.txt

[mike 1]

AV: 360 Total Security (Disabled - Up to date) {5EEE8B0C-BEB2-4f05-BA7E-5EF3A65B8ECC}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку вашего антивируса.

[Алексей Стамберский]

 

AV: 360 Total Security (Disabled - Up to date) {5EEE8B0C-BEB2-4f05-BA7E-5EF3A65B8ECC}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку вашего антивируса.

 

что вы имели ввиду под AV: 360 Total Security (Disabled - Up to date) {5EEE8B0C-BEB2-4f05-BA7E-5EF3A65B8ECC}?, на момент когда был пойман вирус был установлен аваст

[mike 1]

Тогда в техподдержку Аваст обращайтесь. Может после обращений в их техподдержку наконец-то научат свой антивирус ловить шифровальщики. По моему мнению расхлебывать последствия должна техподдержка того антивируса, которая допустила шифрование файлов.

[Алексей Стамберский]

да это понятно, а зачем я столько логов делал?, можно хоть понять чем зашифровано?

[mike 1]

Чтобы по крайней мере иметь на руках чистый компьютер. Spora Ransomware