GrAV 0 Жалоба Опубликовано 11 августа, 2017 (изменено) 10.08.2017 пользователю пришло письмо с вложением, он его открыл. После этого все файлы формата doc,xls,jpg,pdf и некоторые другие зашифровались с расширением ccrpt. Я пробовал утилиты для расшифровки с сайта касперского, думал что это возможно .crypt, но утилиты пишет что у оригинального и шифрованного файла разные размеры. Никаких readme шифровальщик не оставил и сообщений об оплате тоже. К сожалению письма в котором было вложение, загружающее вирус не осталось. Просьба помочь разобраться что это за вирус и возможно ли восстановить документы. На компьютере был обнаружен подозрительный процесс в памяти 994C01B0-0C13-4607-B4DF-CA8575B1299E.exe CollectionLog-2017.08.11-15.16.zip Изменено 11 августа, 2017 пользователем Sandor Убрал вирус Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Sandor 822 Жалоба Опубликовано 11 августа, 2017 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\87.exe', ''); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\3fe40.exe', ''); QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\Opera.lnk', ''); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', ''); ExecuteFile('schtasks.exe', '/delete /TN "C:\WINDOWS\Tasks\bqq6e2jeg.job" /F', 0, 15000, true); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\87.exe', '32'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\3fe40.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kvbehcdkkw'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Updater','command'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(4); ExecuteRepair(10); ExecuteRepair(22); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
GrAV 0 Жалоба Опубликовано 11 августа, 2017 Выполнил рекомендации, высылаю лог ClearLNK-11.08.2017_16-05.log CollectionLog-2017.08.11-16.09.zip Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Sandor 822 Жалоба Опубликовано 11 августа, 2017 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
GrAV 0 Жалоба Опубликовано 11 августа, 2017 Результаты сканирования Farbar Recovery Scan Tool Addition.txt FRST.txt Shortcut.txt Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Sandor 822 Жалоба Опубликовано 11 августа, 2017 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => No File Toolbar: HKU\S-1-5-21-1757981266-725345543-682003330-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File Toolbar: HKU\S-1-5-21-1757981266-725345543-682003330-500 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File 2012-11-14 12:01 - 2012-11-14 12:01 - 000002573 _____ () C:\Documents and Settings\Admin\Application Data\Microsoft\198.exe 2012-11-15 10:30 - 2012-11-15 10:30 - 000002573 _____ () C:\Documents and Settings\Admin\Application Data\Microsoft\txt.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File Task: C:\WINDOWS\Tasks\At1.job => C:\Program Files\DriverPack Notifier\DriverPackNotifier.exe Task: C:\WINDOWS\Tasks\bqq6e2jeg.job => C:\Documents and Settings\Admin\Local Settings\Temp\3fe40.exe <==== ATTENTION AlternateDataStreams: C:\Documents and Settings\Admin\Local Settings\Application Data:wa [178] AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\MANAGERS:com.dropbox.attributes [168] AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\Копия графика:com.dropbox.attributes [168] Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Этот файл C:\Documents and Settings\Admin\Рабочий стол\virdata.txtупакуйте вместе с парой зашифрованных офисных документов и прикрепите к следующему сообщению. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
GrAV 0 Жалоба Опубликовано 11 августа, 2017 Лог FRST , также в архиве есть оригинал одного шифрованного файла send.rar Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Sandor 822 Жалоба Опубликовано 11 августа, 2017 Лог FRSTне прикрепили. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
GrAV 0 Жалоба Опубликовано 11 августа, 2017 virdata.txt есть в архиве понял, еще этот лог забыл Fixlog.txt Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Sandor 822 Жалоба Опубликовано 11 августа, 2017 virdata.txt есть в архивеК сожалению, это не то. Подождите некоторое время (хоть и шансов на успех мало). Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
GrAV 0 Жалоба Опубликовано 11 августа, 2017 Понятно что шансов мало , интересно узнать что за разновидность шифровальщика. В интернете не нашел информацию по таким же случаям , чтобы расширение у шифрованных файлов было ccrpt. PS резервные копии наше всё. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Sandor 822 Жалоба Опубликовано 11 августа, 2017 Пока обновите антивирус до KES10 Антивирус Касперского 6.0 для Windows Workstations 6.0.4.1424 уже давно не поддерживается. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
