Доброго времени суток! Нужна помощь профессионалов в лечении компьютера от вредоносного ПО, и в расшифровке файлов.
Система Windows 7 x86 Ultimate SP1. Компьютер - участник домена на предприятии.
Компьютер был заражен из-под учетки пользователя домена при открытии прикрепленного файла .scr из электронного письма.
Само письмо сохранено на случай необходимости передать болячку (первоисточник) на исследование.
Зашифрованы были все фотографии, музыка, видео и файлы MSOffice (.jpg, .mp3, .avi, .doc(x), .xls(x))
На рабочий стол установился фоновый рисунок с красным текстом на черном фоне с сообщением о шифровании файлов и отсылкой к README файлам следующего содержания. (данные файлы располагаются в корне каждого из локальных дисков и на Рабочем столе):
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
20849AAF4CC34B90AED9|0
на электронный адрес [email protected] или [email protected] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
20849AAF4CC34B90AED9|0
to e-mail address [email protected] or [email protected] .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
З.Ы. Если нужно, могу прислать зараженный файл-первоисточник, зашифрованные файлы. З.З.Ы. Выдержка из логфайла CureIT:
-----------------------------------------------------------------------------
Start scanning
-----------------------------------------------------------------------------
Command line used:-rpcep:\pipe\176D7478E -rpcpr:np
Limit the use of the computer resources to 100%
Instances used for this session: 6
Object(s) to scan:
- D:\-=Distr=-\_111111111\_Quarantine
D:\-=Distr=-\_111111111\_Quarantine\031115scan.scr - infected with Trojan.Inject2.8204
>D:\-=Distr=-\_111111111\_Quarantine\9221249docs.gz is GZIP archive
D:\-=Distr=-\_111111111\_Quarantine\9221249docs.gz - Ok
D:\-=Distr=-\_111111111\_Quarantine\9221249docs.gz - archive
D:\-=Distr=-\_111111111\_Quarantine\9221249docs.gz: Zone.Identifier - Ok
D:\-=Distr=-\_111111111\_Quarantine\031115scan.scr - infected
Total 1760954 bytes in 3 files scanned
Total 2 files are clean
Total 1 file are infected
Scan time is 00:00:00.133
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Valery Sharlay, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: