Приветствую всех!
Помогите пожалуйста. Я так понял файлы зашифрованы. Пользователь попытался открыть файл из письма, причем имя файла было похоже на те что по работе часто приходят. Пробовал утилиты от Каспера и от Веба, они ничего не видят... Единственное что удалось скопировать это файл .PST Документов очень много примерно на 200 Гб. http://dropmefiles.com/YpbL8 ссылка на несколько зараженных файлов разных форматов. Стоит Антивирус Касперского Endpoint Security 10
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Mario87, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Прошу прощения, не дочитал. Не понял как virusinfo_syscure.zip получить поэтому выкладываю только 2 лога. Но я не думаю что это поможет. Так как системы уже нет которая вирус поймала. Я скопировал данные на внешний жесткий. А тот форматнул и заново систему поставил, чтобы пользователь не сидел без компа.
- - - - -Добавлено - - - - -
Еще есть текстовый файл который был создан на рабочем столе с инструкциями что делать. По ссылкам в файле не переходил.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('iSafeKrnlMon.sys','');
SetServiceStart('iSafeKrnlMon', 4);
DeleteService('iSafeKrnlMon');
QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','');
DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','32');
DeleteFile('iSafeKrnlMon.sys','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','isaylvrvlm');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Сделал все как написали. Я же правильно понял что в архив карантина мне нужно положить файлы логов и отправить? Логи сделал на инфицированной машине, систему не успели там переставить.
Вот так там написано
Приложение 2. Как прислать запрошенные файлы.
Запустите AVZ, выберите в меню "Файл" -> "Просмотр карантина".
Справа в списке файлов отметьте те файлы, которые нужно выслать.
Вы же просили файлы логов вот я их туда и положил. Подскажите пожалуйста какие именно файлы нужны?
Спустя несколько дней переписки вот что написали из лаборатории Касперского:
"Добрый день.
Файлы зашифрованы модификацией Trojan-Downloader.Win32.Cabby.cbxq. В настоящее время мы не имеем секретного ключа,
необходимого для расшифровки, а без него расшифровка не представляется возможной.
Мы рекомендуем проверять наличие новых версий утилит и пытаться расшифровать файлы.
Если ключ для расшифровки будет нами получен, он будет добавлен в новую версию утилит. Для получения актуальной
информации о выпуске новых версий, Вы можете подписаться на рассылку «Борьба с вредоносными программами» по
следующей ссылке http://support.kaspersky.ru/subscribe
К сожалению, точными сроками добавления ключа для расшифровки мы не располагаем, в связи с этим данный запрос будет закрыт"
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: