Вирус повредил все файлы формата xls, docx, jpg и так далее

[Zhaxylyk]

Здравствуйте,
 
Сегодня бухгалтерия получила вот такое письмо, в спешке не подумав прошли по ссылки и запустили вирус, который повредил все файлы формата xls, docx, jpg и так далее.

 

Текст письма:

 

От кого: Анна Кудрявцева lev4b66g@mail.ru

Кому: test@mail.ru
Дата: 20 апреля 2017, 13:39

 

Доброго Вам дня!
Мы сосавили акт сверки по рассчетам за период с 01 01 2017 по сегодняшний день. Просим рассмотреть документ и, в случае отсутствия разногласий, написать мне.
По итогам 4-х месяцев по вашей фирме отображается небольшой долг. 
Скан подписанного с нашей стороны документа скинули на файлообменник: https://cloud.mail.ru/public/3kXe/SPuQ3swBF 

С уважением, 
ООО Вендор-Д

 

Согласно рекомендации: https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

 

1. Провел проверку ПК "Kaspersky Virus Removal Tools 2015", "Malwarebytes"

2. Запустил Autologger.exe
3. Приложил логи 

Вопрос: Возможно ли восстановить файлы в рабочее состояние?

 

 

 

 

CollectionLog-2017.04.21-13.41.zip

[Sandor]

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Zhaxylyk]

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Сделал проверку через Farbar Recovery Scan Tool 

 

логи в вложении

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2017-04-21 10:23 - 2017-04-21 10:23 - 00003225 _____ C:\Users\Work\Desktop\ISHTAR.DATA
2017-04-21 10:23 - 2017-04-20 17:37 - 00001824 _____ C:\Users\Work\Desktop\README-ISHTAR.txt
2017-04-20 17:37 - 2017-04-21 10:23 - 00003225 _____ C:\Users\Work\AppData\Roaming\ISHTAR.DATA
2017-04-20 17:37 - 2017-04-20 17:37 - 00001824 _____ C:\Users\Work\AppData\Roaming\README-ISHTAR.txt
2017-04-20 14:10 - 2017-04-21 09:57 - 01220220 _____ C:\Users\Work\AppData\Roaming\yYDx3078n.tmp
2016-07-29 10:15 - 2017-04-19 17:42 - 53876728 _____ (Mail.Ru) C:\Users\Work\AppData\Local\Temp\amigo_setup.exe
2016-06-07 09:02 - 2016-06-01 17:14 - 2187992 _____ (Mail.Ru) C:\Users\Work\AppData\Local\Temp\d970-3fc4-a6d0-940c.exe
Task: {F9FE32EB-D366-4E98-B9C2-6E886F8165CA} - System32\Tasks\MailRuUpdater => C:\Users\Work\AppData\Local\Mail.Ru\MailRuUpdater.exe 
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Zhaxylyk]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2017-04-21 10:23 - 2017-04-21 10:23 - 00003225 _____ C:\Users\Work\Desktop\ISHTAR.DATA
2017-04-21 10:23 - 2017-04-20 17:37 - 00001824 _____ C:\Users\Work\Desktop\README-ISHTAR.txt
2017-04-20 17:37 - 2017-04-21 10:23 - 00003225 _____ C:\Users\Work\AppData\Roaming\ISHTAR.DATA
2017-04-20 17:37 - 2017-04-20 17:37 - 00001824 _____ C:\Users\Work\AppData\Roaming\README-ISHTAR.txt
2017-04-20 14:10 - 2017-04-21 09:57 - 01220220 _____ C:\Users\Work\AppData\Roaming\yYDx3078n.tmp
2016-07-29 10:15 - 2017-04-19 17:42 - 53876728 _____ (Mail.Ru) C:\Users\Work\AppData\Local\Temp\amigo_setup.exe
2016-06-07 09:02 - 2016-06-01 17:14 - 2187992 _____ (Mail.Ru) C:\Users\Work\AppData\Local\Temp\d970-3fc4-a6d0-940c.exe
Task: {F9FE32EB-D366-4E98-B9C2-6E886F8165CA} - System32\Tasks\MailRuUpdater => C:\Users\Work\AppData\Local\Mail.Ru\MailRuUpdater.exe 
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

создал блокнот, сохранил как fixlist, отключил антивирус, запустил FRST, лог файл создал, комп перезагрузился, с рабочего стола ISHTAR.DATA удалилась. 

во вложении лог файл.

Fixlog.txt

[Sandor]

Следы вымогателя очищены. С расшифровкой, увы, помочь не сможем.

Пострадавшие файлы, если есть возможность, вместе с папкой C:\FRST отложите до лучших времен.

[Zhaxylyk]

Следы вымогателя очищены. С расшифровкой, увы, помочь не сможем.

Пострадавшие файлы, если есть возможность, вместе с папкой C:\FRST отложите до лучших времен.

 

блин, получается вообще никак нельзя вылечит пострадавшие файлы? просто очень много нужных документов пострадала. ;(

[Sandor]

Для этого типа вымогателя пока инструментов нет, к сожалению.

[Zhaxylyk]

Для этого типа вымогателя пока инструментов нет, к сожалению.

((((

 

благодарю за помощь