crysis зашифрованы вирусом E42F04A6.[decrypthelp@qq.com].java

[optimamed]

Зашифрованы файлы на компьютере главного бухгалтера.  Похоже заражение произошло после входа на компьютер через mstsc (клиент удаленного рабочего стола Микрософт).

В реестре в автозагрузке стоял файл 1taskmgr.exe.   Я его нашел в нескольких местах на диске и удалил. 

Прошу помочь.  Игорь Иванов. ivanov@mldc-nt.ru

CollectionLog-2018.01.15-12.15.zip

[SQ]

Здравствуйте,

Знакома ли Вам?
 

C:\Users\ivanov\Desktop\Новая папка\ZEC CUDA\0.3.4b\fypool.bat

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[regist]

+

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме.

[optimamed]

Здравствуйте,

 

Знакома ли Вам?

 

C:\Users\ivanov\Desktop\Новая папка\ZEC CUDA\0.3.4b\fypool.bat

-

Была незнакома. Сейчас выяснил, кто это поставил.  Прикрепляю файлы.

 

 

Addition.txt

FRST.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  File: C:\Windows\System32\nvwmi64.exe
  HKU\S-1-5-21-2987495206-378122156-2827222304-3114\...\Run: [] => [X]
  HKU\S-1-5-18\...\Run: [] => [X]
  Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-01-15] ()
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-01-15] ()
  2018-01-15 07:00 - 2018-01-15 07:00 - 000013923 _____ C:\Windows\system32\Info.hta
  2018-01-15 07:00 - 2018-01-15 07:00 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
  2018-01-15 07:00 - 2018-01-15 07:00 - 000000218 _____ C:\FILES ENCRYPTED.txt
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

 

[optimamed]

Прикрепляю новые файлы

report3.log

Fixlog.txt

[regist]

 

 

Прикрепляю новые файлы Прикрепленные файлы

прочтите внимательно, что вас просили.

 

 

архив Report.zip

где он?!

[optimamed]

сорри, высылаю report.7z

Report.7z

[SQ]

Касаемо рашифровки не поможем, но если у Вас есть лицензия на продукты Лаборатории Касперского,то пробуйте:
https://forum.kasperskyclub.ru/index.php?showtopic=48525

[regist]

+ пожалуйста, сделайте лог этой версией HijackThis.

[Aleks85]

+ пожалуйста, сделайте лог этой версией HijackThis.

 

+ пожалуйста, сделайте лог этой версией HijackThis.

 

сори не в тот тикет отправил

HiJackThis.log

HiJackThis_debug.log