Вирус зашифровал файлы на флешке

[Alcore_97]

Принёс мне товарищ заражённую шифратором флешку. Сам вирус обезвредил, но файлы остались зашифрованные. Путём несложных логических умозаключений был обнаружен ПК, который распространял шифратор, поэтому я специально заразил свою подопытную флешку, чтобы получить вирус в чистом виде. Суть его работы в том, что он кидает все файлы в папку, которую именует "_", и делает её скрытой. За одно скрывает папку, где лежат скрипты самого вируса, которые запускаются единственным не скрытым на флешке ярлыком.
Как вылечиться от самого вируса понятно, не ясно, как расшифровать файлы. Как я слышал, здесь могут с этим помочь.
Хотел скинуть заархивированные файлы вируса, но он не даёт никакого доступа (ни скопировать, ни заархивировать не могу), а после auto_logger'a и вовсе удалились все шифраторные скрипты.
Пока что есть логи, но не знаю, насколько они будут полезны.

CollectionLog-2017.12.01-01.19.zip

[thyrex]

То, что Вы описали, ну никак не может быть шифратором. Логи собирали на компьютере, ставшем источником проблем?

[Alcore_97]

Здравствуйте. Нет, логи собирали с флешки на моём компьютере. Необходимо было всё сделать на заражённом компьютере?
И если это не шифратор, то что?
Прикладываю скриншот заражённой флешки.

[thyrex]

Сбой электроники флешки и не более. Информацию не восстановите.

 

Логи собирают на проблемной машине.

[Alcore_97]

Понял, хорошо. Тогда сегодня вечером получу логи с заражённого ПК и скину

[Alcore_97]

Возникла проблема: при проверке больного ПК автологгером нет архива с логами. Программа проверяет комп, но спустя секунд 10-20 просто вылетает. В чём может быть причина?

[regist]

 

 

В чём может быть причина?

Если предположить, что у вас там действительно шифровальщик, то возможно ситуация аналогичная этой. То есть шифровальшик до сих пор активен и во время сбора логов шифрует утилиты которые собирают логи.

Попробуйте собрать логи Автологером из безопасного режима.

[Alcore_97]

Благодарю, скоро отпишусь.

В безопасном режиме та же проблема. Может быть попробовать другой логгер?

[regist]

Давайте пока попробуем разобраться, что у вас там происходит.

1) Скрин окна до его вылета можете сделать?

2) Папка AutoLogger рядом с файлом AutoLogger.exe который вы запускаете создаётся?

3) Если папка создаётся, то поищите в ней файлы report1.log и report2.log, заархивируйте их и прикрепите.

[Alcore_97]

1) Скрин сделаю
2) Папка создаётся
3) Файлы создаются, но нет архива. Сейчас приложу заархивированные файлы со скриншотом

Скриншот экрана и архив с report1 и report2

Вылет автологгера происходит в момент, когда он сканирует папку install на диске С. Как выяснилось, хозяин ПК хранит в этой папке неустановленные программы и игры.

Reportlogs.rar

[regist]

Теперь можете зайти в папку D:\Autologger\AutoLogger\AVZ - запустить там avz.exe.

Нажать Файл - Стандартные скрипты - отметить скрипт №2 - нажать выполнить отмеченные скрипты. Подождать окончания работы и сообщить о результате. Предполагаю, что AVZ у вас опять вылетит. Если не вылетит, то создатся подпапка Log с архивом virusinfo_syscheck.zip (который надо будет прикрепить сюда).

Изменено 1 декабря, 2017 пользователем regist

[Alcore_97]

В общем, вышло всё как Вы и предполагали
Сделал всё так, как Вы написали, но по ходу возникла странная ситуация: я отметил диски для сканирования, запустил скан по написанной инструкции, но галочка на диске С при старте сканирования исчезла, а на D осталась. В итоге он сканировал на этот раз много дольше — минут 5, и всё равно вылетел. Никакого архива нет.

[regist]

1) Для того, чтобы всё-таки проверить систему на вирусы
 
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 
2) По ошибке AVZ лучше всего напишите разработчику этой утилиты Zaitsev Oleg, создав тему с описанием этой проблемы в этом разделе. Скорее всего понадобится отдельная регистрация.

 

3) В AVZ на вкладке "Типы файлов" попробуйте снять галочку с пункта "Проверять архивы" и снова запустить сбор лога.

 

4) Попробуйте ещё собрать этой версией Полиморфный AVZ  4.46 от 2017.04.17