Перейти к содержанию

Вирус зашифровал офисные файлы и базы 1с

z2rim
 Share

Рекомендуемые сообщения

z2rim Новичок

z2rim

Опубликовано
Опубликовано (изменено)

День добрый.
Прошу помощи:
Являюсь обладателем KIS 17.
Видимо, вирус проник из почты.
Просканировал комп утилитой FRST.
Отправляю логи и сообщение из почты, и несколько зашифрованных и оригинальных файлов.
 
Спасибо.

Строгое предупреждение от модератора thyrex
Не прикрепляйте вредоносов

SysWHist.rar

1Башнефть для УВосток-сервис Приложение №1 Описание предмета закупки.xls

post-43817-0-99794000-1485584513_thumb.jpg

Башнефть для УВосток-сервис Приложение №1 Описание предмета закупки (2).xls

Документ Microsoft Word (4).doc

Документ Microsoft Word (4)111.doc

20170125_175648111.rar

Addition.txt

FRST.txt

Изменено пользователем thyrex
вредоносный файл
Ссылка на комментарий
Поделиться на другие сайты
z2rim Новичок

z2rim

Опубликовано
  • Автор
Опубликовано

Вирус зашифровал файлы офиса и базу 1с.

Скорее всего подцепили по почте.

Прошу помощь расшифровать файлы.

 

Первый раз сообщение о помощи писал тут

https://forum.kasperskyclub.ru/index.php?showtopic=54208

Создал новую тему с учетом замечаний. 

CollectionLog-2017.02.01-12.24.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKU\S-1-5-21-3082556124-2373624529-2564164701-1000\...\Policies\Explorer\Run: [QMKtKuaCdmCzkaroWxIMmdDydw] => C:\Windows\system32\RmkEQjRrRcEQGDsUKE.exe
HKU\S-1-5-18\...\Policies\Explorer: [Run] "C:\Users\user\AppData\Roaming\Microsoft\Windows\dllcache\label.exe"
HKU\S-1-5-18\...\Command Processor: "C:\Users\user\AppData\Roaming\Microsoft\Windows\dllcache\label.exe" <===== ATTENTION
SearchScopes: HKU\S-1-5-21-3082556124-2373624529-2564164701-1000 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={60D40FB6-5017-4C17-8170-C931BE9818E8}&mid=5f7ca46645cc47d2bad395c31d4570ea-dfe9d6c931879f18d9aa3502526d5379b13bf5de&lang=ru&ds=AVG&coid=avgtbavg&cmpid=0915tb&pr=fr&d=2014-11-13 09:19:05&v=4.1.8.599&pid=wtu&sg=&sap=dsp&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3082556124-2373624529-2564164701-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={60D40FB6-5017-4C17-8170-C931BE9818E8}&mid=5f7ca46645cc47d2bad395c31d4570ea-dfe9d6c931879f18d9aa3502526d5379b13bf5de&lang=ru&ds=AVG&coid=avgtbavg&cmpid=0915tb&pr=fr&d=2014-11-13 09:19:05&v=4.1.8.599&pid=wtu&sg=&sap=dsp&q={searchTerms}
Toolbar: HKU\S-1-5-21-3082556124-2373624529-2564164701-1000 -> No Name - {001032CB-B0AC-4F2C-A650-AD4B2B26E5DA} -  No File
CHR Extension: (Яндекс) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\aojoeckcmjghlchnnenfkbflndbepjpk [2016-12-07]
CHR Extension: (Яндекс) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\cncgohepihcekklokhbhiblhfcmipbdh [2016-04-27]
CHR Extension: (Стартовая — Яндекс) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne [2016-04-28]
2017-01-27 10:01 - 2017-01-27 10:01 - 00001088 ___RH C:\Users\user\Desktop\RU010-91RRZ-AFTOE-HZTOK-TXZKX-KTXKE-RFTHR-ORYYY.KEY
2017-01-27 10:01 - 2017-01-27 10:01 - 00001088 ___RH C:\Users\user\AppData\Roaming\RU010-91RRZ-AFTOE-HZTOK-TXZKX-KTXKE-RFTHR-ORYYY.KEY
2017-01-27 10:01 - 2017-01-27 10:01 - 00001088 ___RH C:\RU010-91RRZ-AFTOE-HZTOK-TXZKX-KTXKE-RFTHR-ORYYY.KEY
2017-01-27 09:57 - 2017-01-27 10:01 - 09213208 _____ C:\Users\user\AppData\Roaming\3730377854
FirewallRules: [{7979A714-1DF7-4975-92DB-DBE712CEE7A7}] => C:\Program Files\AVG\AVG2014\avgnsx.exe
FirewallRules: [{0B4C0655-364B-491E-BD51-85960E60C9C2}] => C:\Program Files\AVG\AVG2014\avgnsx.exe
FirewallRules: [{4329A85A-16B5-414C-B947-5F4A13127238}] => C:\Program Files\AVG\AVG2014\avgdiagex.exe
FirewallRules: [{2889CFDD-C4BA-4687-B50F-E37636E9C7D0}] => C:\Program Files\AVG\AVG2014\avgdiagex.exe
FirewallRules: [{23B0B075-DB58-4509-96D4-9B2837DA96D2}] => C:\Program Files\AVG\AVG2014\avgmfapx.exe
FirewallRules: [{9D23C499-7D2E-44FA-A5B1-21DE75322489}] => C:\Program Files\AVG\AVG2014\avgmfapx.exe
FirewallRules: [{7A8518DC-887E-4485-847A-FF92FEE3C5F5}] => C:\Program Files\AVG\AVG2014\avgemcx.exe
FirewallRules: [{F9857603-FFEF-44A1-8AA5-B6CCC9EEDAA3}] => C:\Program Files\AVG\AVG2014\avgemcx.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Федор45
      Базы зашифрованы
      От Федор45
      Добрый день!
      Утром получили зашифрованные базы 1С, другие продукты не тронуты
       
      FRST.txt Addition.txt
      для примера зашифрованный архив
      БАНК.rar
    • specxpilot
      Вирус зашифровал файлы с расширением .iw8
      От specxpilot
      Текст сообщения 
      !!!Your files have been encrypted!!!
      To recover them, please contact us via email:
      Write the ID in the email subject
      ID: E3EA701E87735CC1E8DD980E923F89D4
      Email 1: Datablack0068@gmail.com
      Email 2: Datablack0068@cyberfear.com
      Telegram: @Datablack0068

      To ensure decryption you can send 1-2 files (less than 1MB) we will decrypt it for free.
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLED PRICE.
      WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.
    • sntsnt
      Шифровальщик nigra зашифровал базы sql
      От sntsnt
      Здравствуйте. Сервер с базами SQL оказался зашифрован. С утра SQL сервер оказался выгруженным. Сервер включен 24/7. Все файлы имеют расширение nigra. Следов от NOD32 на компьютере вообще не нашел. В трее оказался запущенным AnyDesk. Взлом скорее всего произошел через RDP. Файлы ежедневного бэкапа баз SQL тоже зашифрованы. Резервные копии от акрониса тоже зашифрованы. Возможна ли расшифровка SQL баз или файлов бэкапа от акрониса в принципе?
      Шифрованные файлы.rar FRST.txt Addition.txt
    • Сергей194
      Вирус шифровальщик, нет доступа к базе 1с
      От Сергей194
      Здравствуйте. Поймали шифровальщик, база 1с недоступна. работа предприятия заблокирована. Выручайте!
      Desktop.rar
    • Andrei Butyrchyk
      Зашифрованы файлы с расширением .mammn
      От Andrei Butyrchyk
      Здравствуйте!
      Отработал на машине шифровальщик. До конца отработать, по всей видимости, не успел так как нет записки и не все файлы были зашифрованы.
      Есть папки с RSADecryptKey и предположительно сам файл шифровальщик.
      FRST.zip EncryptedFiles.zip
×
×
  • Создать...