шифровальщик id-7891F13C.[veracrypt@foxmail.com].adobe

[andrey20021964]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
REBE1l.exe

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

[Sandor]

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте, пожалуйста, дополнительно с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Ждем логи FRST.

[andrey20021964]

шифровальщик id-7891F13C.[veracrypt@foxmail.com].adobe

через форму отправки карантина письмо с вложением ушло, а через mail.ru не доходит

HiJackThis.log

Addition.txt

FRST.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  Task: {7B1238F3-F91F-4084-B91A-8041C278888A} - \vnovostyahnethewol -> No File <==== ATTENTION
  Task: {ECB5E8E6-DF7F-4E64-BB6E-E1D3AD742417} - System32\Tasks\IUA Xmas Task (One-Time) => C:\Program Files (x86)\IObit\IObit Uninstaller\xmas.exe
  2018-12-26 10:43 - 2018-12-31 12:05 - 000000000 ____D C:\Users\Администратор\AppData\LocalLow\IObit
  2018-12-15 21:57 - 2018-12-15 21:57 - 000003094 _____ C:\Windows\System32\Tasks\IUA Xmas Task (One-Time)
  2018-12-15 21:43 - 2018-12-31 12:14 - 000000000 ____D C:\Users\Гость\AppData\Roaming\IObit
  2018-12-15 21:43 - 2018-12-31 12:14 - 000000000 ____D C:\Users\Гость\AppData\LocalLow\IObit
  2018-12-15 21:43 - 2018-12-31 12:05 - 000000000 ____D C:\ProgramData\ProductData
  2018-12-15 21:43 - 2018-12-26 10:44 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\IObit
  2018-12-15 21:43 - 2018-12-15 21:59 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced SystemCare
  2018-12-15 21:43 - 2018-12-15 21:43 - 000000000 ____D C:\Windows\Tasks\ImCleanDisabled
  2018-12-15 21:42 - 2018-12-31 12:05 - 000000000 ____D C:\ProgramData\IObit
  2018-12-15 21:42 - 2018-12-15 21:56 - 000000000 ____D C:\Program Files (x86)\IObit
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

[andrey20021964]

 

шифровальщик id-7891F13C.[veracrypt@foxmail.com].adobe

Fixlog.txt

[Sandor]

В системе была подмена файла sethc.exe, в результате которой, вероятно, злоумышленник и проник.

Вам необходимо восстановить оригинальную версию.

 

Запустите этот скрипт в расширенном режиме.

[andrey20021964]

Для расшифровки данных это поможет?

[Sandor]

Нет. Это обезопасит сервер от подобного в будущем.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

[andrey20021964]

систему переустановить полчаса делов, у меня база зашифрована - в это вся проблема. В любом случае спасибо