Файлы получили разрешение .xqccjqj

[Mario87]

Приветствую всех!
Помогите пожалуйста. Я так понял файлы зашифрованы. Пользователь попытался открыть файл из письма, причем имя файла было похоже на те что по работе часто приходят. Пробовал утилиты от Каспера и от Веба, они ничего не видят... Единственное что удалось скопировать это файл .PST Документов очень много примерно на 200 Гб. http://dropmefiles.com/YpbL8 ссылка на несколько зараженных файлов разных форматов. Стоит Антивирус Касперского Endpoint Security 10

[Info_bot]

Уважаемый(ая) Mario87, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Mario87]

Безымянный.jpg выдает такое при попытке открыть изменив разрешение (убрав лишнее)

- - - - -Добавлено - - - - -

avz_log.txt Лог AVZ

[thyrex]

Перечитайте правила и пришлите нужные логи AVZ

[Mario87]

Прошу прощения, не дочитал. Не понял как virusinfo_syscure.zip получить поэтому выкладываю только 2 лога. Но я не думаю что это поможет. Так как системы уже нет которая вирус поймала. Я скопировал данные на внешний жесткий. А тот форматнул и заново систему поставил, чтобы пользователь не сидел без компа.

- - - - -Добавлено - - - - -

Еще есть текстовый файл который был создан на рабочем столе с инструкциями что делать. По ссылкам в файле не переходил.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('iSafeKrnlMon.sys','');
 SetServiceStart('iSafeKrnlMon', 4);
 DeleteService('iSafeKrnlMon');
 QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','32');
 DeleteFile('iSafeKrnlMon.sys','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','isaylvrvlm');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Mario87]

Сделал все как написали. Я же правильно понял что в архив карантина мне нужно положить файлы логов и отправить? Логи сделал на инфицированной машине, систему не успели там переставить.

[thyrex]

Я же правильно понял что в архив карантина мне нужно положить файлы логов и отправить?

Нет, конечно )

Читайте приложение 2

[Mario87]

Нет, конечно )

Читайте приложение 2

Вот так там написано
Приложение 2. Как прислать запрошенные файлы.
Запустите AVZ, выберите в меню "Файл" -> "Просмотр карантина".
Справа в списке файлов отметьте те файлы, которые нужно выслать.

Вы же просили файлы логов вот я их туда и положил. Подскажите пожалуйста какие именно файлы нужны?

[thyrex]

Логи прикрепляют к сообщению

Если при выполнении инструкции приложения 2 в окне нет никаких файлов, значит в карантин ничего не попало

[Mario87]

Спустя несколько дней переписки вот что написали из лаборатории Касперского:
"Добрый день.
Файлы зашифрованы модификацией Trojan-Downloader.Win32.Cabby.cbxq. В настоящее время мы не имеем секретного ключа,

необходимого для расшифровки, а без него расшифровка не представляется возможной.
Мы рекомендуем проверять наличие новых версий утилит и пытаться расшифровать файлы.
Если ключ для расшифровки будет нами получен, он будет добавлен в новую версию утилит. Для получения актуальной
информации о выпуске новых версий, Вы можете подписаться на рассылку «Борьба с вредоносными программами» по
следующей ссылке http://support.kaspersky.ru/subscribe
К сожалению, точными сроками добавления ключа для расшифровки мы не располагаем, в связи с этим данный запрос будет закрыт"

[thyrex]

Увы

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения вредоносные программы в карантинах не обнаружены