Зашифрованы файлы

**Михаил Власов** · 30.09.2014, 16:06

Словил письмо на почте после открытия которого часть файлов стала зашифрованной.

id-{RVYJTXFGYVJDVQDYJKLUYFBCGBPXUIKFCQLZ-22.09.2014 12@31@035737533}[email protected]

вот такое окончание дописано в конце файлов док, эксель и других.

Есть ли оперативное решение данного вопроса?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 30.09.2014, 16:07

Уважаемый(ая) Михаил Власов, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 30.09.2014, 16:20

http://virusinfo.info/pravila.html

Письмо если сохранилось сохраните его в eml формате, упакуйте eml файл в архив с паролем virus и пришлите по красной ссылке вверху темы

**Михаил Власов** · 30.09.2014, 20:04

Отправил все как просили: на одном из архивов есть пароль 201109

**mike 1** · 30.09.2014, 20:08

Делайте логи по правилам.

**Михаил Власов** · 30.09.2014, 20:17

Лог

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:39:17, on 30.09.2014
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Documents and Settings\Admin\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\VMware\VMware Tools\vmacthlp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\FlushServ.exe
C:\Program Files\Google\Update\1.3.24.15\GoogleCrashHandler.exe
C:\WINDOWS\system32\nhsrvice.exe
C:\WINDOWS\system32\hasplms.exe
C:\WINDOWS\System32\ismserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ntfrs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\lserver.exe
C:\WINDOWS\System32\ups.exe
C:\Program Files\VMware\VMware Tools\VMwareService.exe
C:\Program Files\Common Files\VMware\USB\vmware-usbarbitrator.exe
C:\WINDOWS\system32\vmnat.exe
C:\Program Files\VMware\VMware vCenter Converter Standalone\vmware-converter-a.exe
C:\Program Files\VMware\VMware vCenter Converter Standalone\vmware-converter.exe
C:\Program Files\VMware\VMware vCenter Converter Standalone\vmware-converter.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Program Files\VMware\VMware Tools\VMUpgradeHelper.exe
C:\Program Files\VMware\VMware Workstation\vmware-hostd.exe
C:\Program Files\CodeMeter\Runtime\bin\CodeMeter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\VMware\VMware Tools\VMwareUser.exe
C:\WINDOWS\system32\mstsc.exe
C:\UserProgramFiles\ComAgent\ComAgent.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\totalcmd\TOTALCMD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\VMware\VMware Tools\VMwareTray.exe
C:\Program Files\VMware\VMware Tools\VMwareUser.exe
C:\UserProgramFiles\ComAgent\ComAgent.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\1Cv77.ADM\BIN\1cv7.exe
C:\Documents and Settings\Admin\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.volex.local/e107/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gw.volex.local/e107/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer provided by Volex Company
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = gw.volex.local:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.volex.local;192.168.2.*;<local>
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [VMware Tools] "C:\Program Files\VMware\VMware Tools\VMwareTray.exe"
O4 - HKLM\..\Run: [VMware User Process] "C:\Program Files\VMware\VMware Tools\VMwareUser.exe"
O4 - HKCU\..\Run: [GoogleDriveSync] "C:\Program Files\Google\Drive\googledrivesync.exe" /autostart
O4 - HKCU\..\Run: [ctfmon] c:\Windows\System32\ctfmon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-21-3279146229-1750746442-1232477901-1131\..\Run: [] (User 'irina.filippova')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: ComAgent.lnk = C:\UserProgramFiles\ComAgent\ComAgent.exe
O4 - Global Startup: Такском Агент.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O10 - Broken Internet access because of LSP provider 'c:\documents and settings\admin\windows\system32\mswsock.dll' missing
O15 - Trusted Zone: http://update-rfrt.taxcom.ru
O15 - Trusted Zone: http://*.taxcom.ru
O15 - Trusted Zone: http://users.v8.1c.ru
O15 - Trusted Zone: http://mail.volex.local
O15 - Trusted IP range: http://192.168.2.138
O15 - ESC Trusted Zone: http://*.qip.ru
O15 - ESC Trusted Zone: http://dl4.rapidshare.ru
O15 - ESC Trusted Zone: http://www.rapidshare.ru
O15 - ESC Trusted Zone: http://gw.volex.local
O16 - DPF: {307EA0A8-C08A-4118-9910-FFE11046EF97} (PrintManager Class) - https://www.bankline.ru/servlets/ibc?File=41147788.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1373136116125
O16 - DPF: {6F6AB48D-BA20-4645-AEE6-ADC5B1E6E9EA} (RprtViewCtl Class) - https://www.bankline.ru/servlets/ibc?File=41147785.CAB
O16 - DPF: {7D0FDBB3-B42D-11D2-8977-0060080BBFF8} (LstDlg Class) - https://www.bankline.ru/servlets/ibc?File=57233290.CAB
O16 - DPF: {A90CDED7-0D8F-49CE-87B3-5D4BE4C36407} (InistFileSystemObject Class) - https://www.bankline.ru/servlets/ibc?File=1676743.CAB
O16 - DPF: {C6DBEB23-7475-11D2-8968-0060080BBFF8} (SecureAgavaIpriv Class) - https://www.bankline.ru/servlets/fgk?File=69485765.cab
O16 - DPF: {CCB00BF9-91CD-11D3-837F-0060080BC056} (RosBankObj Class) - https://www.bankline.ru/servlets/ibc?File=41147748.CAB
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = volex.local
O17 - HKLM\Software\..\Telephony: DomainName = volex.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{5670F625-B876-47B0-9B88-EA01FBD6A01C}: NameServer = 192.168.2.251,192.168.2.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7A12B99-F6F2-4250-AC01-CB6EAF57F248}: NameServer = 192.168.2.251,192.168.2.225
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = volex.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = volex.local
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = volex.local
O20 - Winlogon Notify: cpcsp - C:\Program Files\Crypto Pro\CSP\cpcspi.dll
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\Documents and Settings\Admin\WINDOWS\system32\browseui.dll (file missing)
O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Documents and Settings\Admin\WINDOWS\system32\browseui.dll (file missing)
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: CodeMeter Runtime Server (CodeMeter.exe) - WIBU-SYSTEMS AG - C:\Program Files\CodeMeter\Runtime\bin\CodeMeter.exe
O23 - Service: Synchronize Cache Utility (FlushService) - American Megatrends Inc. - C:\WINDOWS\system32\FlushServ.exe
O23 - Service: Служба Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Служба Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: HASP Loader - Aladdin Knowledge Systems Ltd. - C:\WINDOWS\system32\nhsrvice.exe
O23 - Service: HASP License Manager (hasplms) - Aladdin Knowledge Systems Ltd. - C:\WINDOWS\system32\hasplms.exe
O23 - Service: MegaServ - Unknown owner - C:\WINDOWS\system32\Megaserv.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Tools Service (VMTools) - VMware, Inc. - C:\Program Files\VMware\VMware Tools\VMwareService.exe
O23 - Service: VMware Upgrade Helper (VMUpgradeHelper) - VMware, Inc. - C:\Program Files\VMware\VMware Tools\VMUpgradeHelper.exe
O23 - Service: VMware USB Arbitration Service (VMUSBArbService) - VMware, Inc. - C:\Program Files\Common Files\VMware\USB\vmware-usbarbitrator.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: VMware Physical Disk Helper Service - VMware, Inc. - C:\Program Files\VMware\VMware Tools\vmacthlp.exe
O23 - Service: VMware vCenter Converter Standalone Agent (vmware-converter-agent) - VMware, Inc. - C:\Program Files\VMware\VMware vCenter Converter Standalone\vmware-converter-a.exe
O23 - Service: VMware vCenter Converter Standalone Server (vmware-converter-server) - VMware, Inc. - C:\Program Files\VMware\VMware vCenter Converter Standalone\vmware-converter.exe
O23 - Service: VMware vCenter Converter Standalone Worker (vmware-converter-worker) - VMware, Inc. - C:\Program Files\VMware\VMware vCenter Converter Standalone\vmware-converter.exe
O23 - Service: VMware Workstation Server (VMwareHostd) - Unknown owner - C:\Program Files\VMware\VMware Workstation\vmware-hostd.exe

--
End of file - 11258 bytes

Скрыть

**thyrex** · 30.09.2014, 21:43

Ждем логи AVZ

**Михаил Власов** · 01.10.2014, 09:28

Files in attach

**mike 1** · 01.10.2014, 12:33

Логи сделайте не через терминальную сессию.

**Михаил Власов** · 03.10.2014, 08:29

файлы выгруженные не используя терминальную сессию

**mike 1** · 03.10.2014, 11:35

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

**Михаил Власов** · 03.10.2014, 16:20

Logs

**mike 1** · 03.10.2014, 17:25

Вижу уже этот компьютер болел шифратором keybtc и похоже не только им.

D:\ДОКУМЕНТЫ ФИНАНСОВОГО ОТДЕЛА\БУХГАЛТЕРИЯ\DOGOMS\DE3.EXE

Пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

**Михаил Власов** · 03.10.2014, 17:39

Сообщение от mike 1

Вижу уже этот компьютер болел шифратором keybtc и похоже не только им.

Пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Да, 2 раза до этого цепляли такую гадость на сервак. Что можете рекомендовать для защиты чтобы такого больше не происходило?
Возможно ли решить ту задачу с рашифровкой что стоит сейчас?

**mike 1** · 04.10.2014, 17:52

D:\ДОКУМЕНТЫ ФИНАНСОВОГО ОТДЕЛА\БУХГАЛТЕРИЯ\DOGOMS\DE3.EXE

Удаляйте.

Да, 2 раза до этого цепляли такую гадость на сервак.

Первый раз похоже зашли удаленно через RDP. Второй раз заразились через почтовое вложение.

Что можете рекомендовать для защиты чтобы такого больше не происходило?

Смените порт 3389 удаленного рабочего стола на какой нибудь другой. Делайте резервное копирование ценных данных на отдельный жесткий диск, который постоянно не подключен к компьютеру. Обучайте персонал базовой компьютерной грамотности.

Возможно ли решить ту задачу с рашифровкой что стоит сейчас?

В данном случае без оригинального дешифратора не обойтись.

**CyberHelper** · 04.10.2014, 18:02

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 2
В ходе лечения вредоносные программы в карантинах не обнаружены

Зашифрованы файлы (заявка № 167542)

Опции темы

Зашифрованы файлы

Это понравилось:

Лог

Антивирусная помощь

Files

Выгрузка АВЗ и Хак (не терминалка)

Логи uVS

ответ

Итог лечения

Похожие темы

Файлы получили расширение ctbl. и зашифрованы. По инструкции файлы вложил

Зашифрованы графические файлы и файлы M office.

Ваши файлы и базы данных зашифрованы. Все файлы doc,xls,jpg с изменённым расширением

Зашифрованы файлы! Все файлы стали с расширением *.BoX26

Метки для этой темы

Ваши права в разделе