шифровальщик .bomber...

[alexnikl]

откуда взялся затрудняюсь сказать

CollectionLog-2018.06.19-14.48.zip

КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT

[akoK]

Проверьте на https://www.virustotal.comфайл  C:\Users\Главный бухгалтер\AppData\Local\Temp\UeIqC\tv.dll

 

C:\Users\Главный бухгалтер\desktop\aa_v3.exe - ваше удаленное управление? (Ammyy_Admin_AA_v3)

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\DRIVERS\oem-drv64.sys','');
 QuarantineFile('C:\Users\Главный бухгалтер\AppData\Local\Temp\UeIqC\tv.dll','');
 QuarantineFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe','');
 QuarantineFileF('C:\Users\Главный бухгалтер\AppData\Local\Temp\UeIqC\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\Главный бухгалтер\AppData\Local\Temp\UeIqC\tv.dll','32');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

 

Компьютер перезагрузится. 

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Изменено 19 июня, 2018 пользователем akoK

[alexnikl]

файлы frst

Addition.txt

FRST.txt

Shortcut.txt

[akoK]

 

C:\Users\Главный бухгалтер\desktop\aa_v3.exe - ваше удаленное управление? (Ammyy_Admin_AA_v3)  

???? Еще в логах виден TeamViewer

 

 

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
VirusTotal: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe
HKU\S-1-5-21-658647912-4086207853-2789033450-1000\...\MountPoints2: {f12d88c2-6ee8-11e3-befe-806e6f6e6963} - D:\Run.exe
2018-06-19 07:39 - 2018-06-19 07:46 - 000002448 _____ C:\Users\Главный бухгалтер\Downloads\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
2018-06-19 07:39 - 2018-06-19 07:39 - 000002448 _____ C:\Users\Главный бухгалтер\Documents\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
2018-06-19 07:29 - 2018-06-19 07:29 - 000002448 _____ C:\Users\Главный бухгалтер\Desktop\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
2018-06-19 07:29 - 2018-06-19 07:29 - 000002448 _____ C:\Users\Public\Documents\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
EmptyTemp:
Reboot:
End::

 

Скопируйте выделенный текст (правой кнопкой - Копировать).

Запустите FRST (FRST64) от имени администратора.

Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

Изменено 19 июня, 2018 пользователем akoK