Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Вирус зашифровал офисные файлы и базы 1с

z2rim
 Поделиться

Рекомендуемые сообщения

z2rim

z2rim

Опубликовано
Опубликовано (изменено)

День добрый.
Прошу помощи:
Являюсь обладателем KIS 17.
Видимо, вирус проник из почты.
Просканировал комп утилитой FRST.
Отправляю логи и сообщение из почты, и несколько зашифрованных и оригинальных файлов.
 
Спасибо.

Строгое предупреждение от модератора thyrex
Не прикрепляйте вредоносов

SysWHist.rar

1Башнефть для УВосток-сервис Приложение №1 Описание предмета закупки.xls

post-43817-0-99794000-1485584513_thumb.jpg

Башнефть для УВосток-сервис Приложение №1 Описание предмета закупки (2).xls

Документ Microsoft Word (4).doc

Документ Microsoft Word (4)111.doc

20170125_175648111.rar

Addition.txt

FRST.txt

Изменено пользователем thyrex
вредоносный файл
z2rim

z2rim

Опубликовано
  • Автор
Опубликовано

Вирус зашифровал файлы офиса и базу 1с.

Скорее всего подцепили по почте.

Прошу помощь расшифровать файлы.

 

Первый раз сообщение о помощи писал тут

https://forum.kasperskyclub.ru/index.php?showtopic=54208

Создал новую тему с учетом замечаний. 

CollectionLog-2017.02.01-12.24.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKU\S-1-5-21-3082556124-2373624529-2564164701-1000\...\Policies\Explorer\Run: [QMKtKuaCdmCzkaroWxIMmdDydw] => C:\Windows\system32\RmkEQjRrRcEQGDsUKE.exe
HKU\S-1-5-18\...\Policies\Explorer: [Run] "C:\Users\user\AppData\Roaming\Microsoft\Windows\dllcache\label.exe"
HKU\S-1-5-18\...\Command Processor: "C:\Users\user\AppData\Roaming\Microsoft\Windows\dllcache\label.exe" <===== ATTENTION
SearchScopes: HKU\S-1-5-21-3082556124-2373624529-2564164701-1000 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={60D40FB6-5017-4C17-8170-C931BE9818E8}&mid=5f7ca46645cc47d2bad395c31d4570ea-dfe9d6c931879f18d9aa3502526d5379b13bf5de&lang=ru&ds=AVG&coid=avgtbavg&cmpid=0915tb&pr=fr&d=2014-11-13 09:19:05&v=4.1.8.599&pid=wtu&sg=&sap=dsp&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3082556124-2373624529-2564164701-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={60D40FB6-5017-4C17-8170-C931BE9818E8}&mid=5f7ca46645cc47d2bad395c31d4570ea-dfe9d6c931879f18d9aa3502526d5379b13bf5de&lang=ru&ds=AVG&coid=avgtbavg&cmpid=0915tb&pr=fr&d=2014-11-13 09:19:05&v=4.1.8.599&pid=wtu&sg=&sap=dsp&q={searchTerms}
Toolbar: HKU\S-1-5-21-3082556124-2373624529-2564164701-1000 -> No Name - {001032CB-B0AC-4F2C-A650-AD4B2B26E5DA} -  No File
CHR Extension: (Яндекс) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\aojoeckcmjghlchnnenfkbflndbepjpk [2016-12-07]
CHR Extension: (Яндекс) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\cncgohepihcekklokhbhiblhfcmipbdh [2016-04-27]
CHR Extension: (Стартовая — Яндекс) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne [2016-04-28]
2017-01-27 10:01 - 2017-01-27 10:01 - 00001088 ___RH C:\Users\user\Desktop\RU010-91RRZ-AFTOE-HZTOK-TXZKX-KTXKE-RFTHR-ORYYY.KEY
2017-01-27 10:01 - 2017-01-27 10:01 - 00001088 ___RH C:\Users\user\AppData\Roaming\RU010-91RRZ-AFTOE-HZTOK-TXZKX-KTXKE-RFTHR-ORYYY.KEY
2017-01-27 10:01 - 2017-01-27 10:01 - 00001088 ___RH C:\RU010-91RRZ-AFTOE-HZTOK-TXZKX-KTXKE-RFTHR-ORYYY.KEY
2017-01-27 09:57 - 2017-01-27 10:01 - 09213208 _____ C:\Users\user\AppData\Roaming\3730377854
FirewallRules: [{7979A714-1DF7-4975-92DB-DBE712CEE7A7}] => C:\Program Files\AVG\AVG2014\avgnsx.exe
FirewallRules: [{0B4C0655-364B-491E-BD51-85960E60C9C2}] => C:\Program Files\AVG\AVG2014\avgnsx.exe
FirewallRules: [{4329A85A-16B5-414C-B947-5F4A13127238}] => C:\Program Files\AVG\AVG2014\avgdiagex.exe
FirewallRules: [{2889CFDD-C4BA-4687-B50F-E37636E9C7D0}] => C:\Program Files\AVG\AVG2014\avgdiagex.exe
FirewallRules: [{23B0B075-DB58-4509-96D4-9B2837DA96D2}] => C:\Program Files\AVG\AVG2014\avgmfapx.exe
FirewallRules: [{9D23C499-7D2E-44FA-A5B1-21DE75322489}] => C:\Program Files\AVG\AVG2014\avgmfapx.exe
FirewallRules: [{7A8518DC-887E-4485-847A-FF92FEE3C5F5}] => C:\Program Files\AVG\AVG2014\avgemcx.exe
FirewallRules: [{F9857603-FFEF-44A1-8AA5-B6CCC9EEDAA3}] => C:\Program Files\AVG\AVG2014\avgemcx.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alegator2222
      Шифровальщик SPORA
      Автор alegator2222
      Добрый день коллеги, подверглись атаки вируса spora, шифрует файлы в hta, есть способ расшифровать? 
      пример_hta_файла.rar
    • stasnakhlov
      зашифровали файлы .hta
      Автор stasnakhlov
      Добрый день. 
       
      Проблема следующая: через почтовый клиент был открыт файл с вирусом, сам комп не заразился, а вот рабочий сервер пострадал, половина файлов за шифровались под расширение .hta . 
      CollectionLog-2017.10.25-14.04.zip
    • Viki
      Шифровальщик Hta
      Автор Viki
      Пришло письмо на электронную почту, с содержимым вроде "документы проверенны, с нашей стороны все в порядке, посмотрите с вашей" и прикрепленный файл hta, открыла, все документы на рабочем столе стали с расширением hta. исчезли все данные с 1с кварта и т.д. Как можно все восстановить подскажите пожалуйста
    • mixali4
      Шифровальщик Spora
      Автор mixali4
      Доброго времени суток. С почтового ящика qeer@mail.ru пришло письмо со следующим содержимым:
      Случайно запустил на компьютере файл, который пришел в архиве.
      Вирус зашифровал много файлов, но я успел вовремя отрубить, файлы преобразовались в расширения типа *.doc.hta, *.xls.hta. При открытии файла требует деньги, почта spora.help@gmail.com.
      Как расшифровать данные файлы, что вообще можно сделать?
      Документы очень важные. Ребята помогите пожалуйста.
      Спасибо!!!
    • Владимир72рус
      поймали шифровальщик spora, как дешифровать файлы?
      Автор Владимир72рус
      Вчера на работе у нас произошел инцидент, одна наша сотрудница приняла письмо по почте, от неизвестного источника, соответственно распаковала и открыла файл, сама того не понимая, что это был скрипт.
      После чего вирус начал делать свои дела на компе и в сети, то есть начал шифровать файлы, параллельно производил поиск в сети всех расширенных папок и начал шифровать все файлы.
      выкладываю файл со скриптом, а так же фото рабочего стола
       

      Строгое предупреждение от модератора Mark D. Pearlstone не выкладывайте вредоносные и потенциально вредоносные файлы и ссылки на форум.





×
×
  • Создать...