Изменилась кодировка файлов (либо они зашифрованы)

[Алексей_М]

Здравствуйте.

07.03.17 открыл письмо, как мне показалось, от знакомого адресата, в архиве файл, который открыл по не внимательности (обычно я такого не делаю и подозрительные письма не открываю). 

В результате перестали открываться все doc, docx, rtf, xls и pdf файлы на системном диске. Имена и расширения файлов не изменены. На другом локальном диске pdf не тронуты, изменены только вордовские.

Есть архив с файлом-вирусом (wsf), и два одинаковых (до атаки) файла, исходный и измененный вирусом.

Надеюсь на Вашу помощь. Спасибо.

 

Строгое предупреждение от модератора "Mark D. Pearlstone"

Не публикуйте вредоносные и потенциально вредоносные файлы и ссылки на форуме.

 

Извиняюсь, думал для пользы дела.

 

Прикрепил сборщик логов и добавил один из испорченных файлов doc.

diag ИП1.1 чистый.pdf

diag ИП1.1 грязный.pdf

Копилка отказов.docx

CollectionLog-2017.03.09-20.39.zip

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Алексей_М]

Ок.

Desktop.zip

[thyrex]

Образец шифратора заархивируйте с паролем virus и пришлите мне в ЛС

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
IFEO\bitguard.exe: [Debugger] tasklist.exe
IFEO\bprotect.exe: [Debugger] tasklist.exe
IFEO\bpsvc.exe: [Debugger] tasklist.exe
IFEO\browserdefender.exe: [Debugger] tasklist.exe
IFEO\browserprotect.exe: [Debugger] tasklist.exe
IFEO\browsersafeguard.exe: [Debugger] tasklist.exe
IFEO\dprotectsvc.exe: [Debugger] tasklist.exe
IFEO\jumpflip: [Debugger] tasklist.exe
IFEO\protectedsearch.exe: [Debugger] tasklist.exe
IFEO\searchinstaller.exe: [Debugger] tasklist.exe
IFEO\searchprotection.exe: [Debugger] tasklist.exe
IFEO\searchprotector.exe: [Debugger] tasklist.exe
IFEO\searchsettings.exe: [Debugger] tasklist.exe
IFEO\searchsettings64.exe: [Debugger] tasklist.exe
IFEO\snapdo.exe: [Debugger] tasklist.exe
IFEO\stinst32.exe: [Debugger] tasklist.exe
IFEO\stinst64.exe: [Debugger] tasklist.exe
IFEO\umbrella.exe: [Debugger] tasklist.exe
IFEO\utiljumpflip.exe: [Debugger] tasklist.exe
IFEO\volaro: [Debugger] tasklist.exe
IFEO\vonteera: [Debugger] tasklist.exe
IFEO\websteroids.exe: [Debugger] tasklist.exe
IFEO\websteroidsservice.exe: [Debugger] tasklist.exe
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Алексей_М]

1

Fixlog.txt

[Алексей_М]

Здравствуйте,

Можете сказать, опасны ли мои зашифрованные файлы, нет ли в них вируса?

Слышал, что антивирус не всегда может распознать подобного шифровальщика.

[thyrex]

В зашифрованных файлах вируса нет