Показано с 1 по 8 из 8.

Зашифрованы файлы для работы (xlsx, docx, pdf, rar, zip, jpg). Прошу помочь. (заявка № 183952)

  1. #1
    Junior Member Репутация
    Регистрация
    19.05.2015
    Сообщений
    3
    Вес репутации
    6

    Зашифрованы файлы для работы (xlsx, docx, pdf, rar, zip, jpg). Прошу помочь.

    Пришло сообщение по электронной почте с темой "резюме" с прикрепленным Word-файлом. Файл сохранил, проверил "Касперским". При проверке данного файла ничего подозрительного "Касперский" не обнаружил. Двойным кликом открыл файл. В открывшемся Wordе появилась иконка PDF-ного файла. Открыл иконку двойным кликом, открылось в Acrobat Readerе резюме. Закрыл. "Касперский" выдал сообщение о трояне PDM:Trojan.Win32.Generic. Вылечил с перезагрузкой. Пошел на обед. После обеда обнаружил, что файлы xlsx, docx, pdf, rar, zip, jpg зашифрованы. Появился текстовый файл практически в каждой папке следующего содержания:
    " Унать стоимость декриптора можно, написав письмо на адрес:soldgreens@gmail.com
    В ТЕМЕ письма УКАЖИТЕ ВАШ ID:7743612416

    Убедительная просьба не пытаться расшифровать файлы сторонними инструментами.
    Вы можете их окончательно испортить и даже оригинальный дешифровщик не поможет.
    Обращения принимаются до 21.05.2015
    После 21.05.2015 любые обращения будут игнорироваться.

    Письма обрабатываются автоматической системой."

    При отправке ID на указанный адрес пришло сообщение следующего содержания:

    "Благодарим вас за обращение.
    Данное письмо создано автоматизированной системой.
    Стоимость вашего уникального ключа на данный момент составляет - 10 000 р.
    Если вы приняли решение об оплате - отправьте свое подтверждение.
    В ответ вы получите реквизиты и инструкцию по дальнейшим действиям.
    После получения вами реквизитов у вас будет ровно 4 часа для проведения оплаты.
    Если за это время от вас не поступили средства - ваши дальнейшие обращения будут игнорироваться.
    После подтверждения оплаты вы получите программу-декриптор, которая дешифрует все ваши документы.
    FAQ:
    Расшифруйте файл для пробы - никакие файлы без оплаты не отправляем.
    Где гарантии? - мы честно отправляем декриптор тем, кто его честно оплатил в указанный срок.
    Готов заплатить максимум 1000 рублей - робот не умеет торговаться.
    Можно оплатить как-то по-другому? - Нет, для оплаты используйте только ту платежную систему, которую вам указали.
    Причины по которым ваши обращения будут игнорироваться:
    - Оскорбления
    - Запрос реквизитов без последующей оплаты
    - Угрозы"

    Логи прикрепил. Зашифрованный файл прикрепил.
    Файл с "заразой" прикреплять или нет?
    Кстати, он не хочет архивироваться.
    Надеюсь на скорый ответ.
    С уважением, Антон.

    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    327
    Уважаемый(ая) Антон Нечипоренко, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2917
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('c:\windows\system32\lasys\uamsrv.exe','');
     QuarantineFile('c:\windows\system32\lasys\uamapp.exe','');
     QuarantineFile('c:\windows\system32\lasys\system.exe','');
     QuarantineFile('c:\windows\system32\lasys\svchost.exe','');
     QuarantineFile('C:\Windows\system32\lasys\wssfcmai.exe','');
     QuarantineFile('C:\Users\Антон Кочетов\adobesystem.exe','');
     QuarantineFile('C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE','');
     QuarantineFile('C:\Users\03E5~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
     DeleteFile('C:\Users\03E5~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
     DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
     DeleteFile('C:\Users\Антон Кочетов\adobesystem.exe','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

    Сделайте новые логи по правилам
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    19.05.2015
    Сообщений
    3
    Вес репутации
    6
    Новые логи отправляю.
    Антивирус Касперского обнаружил в word-овском файле (резюме, которое пришло по электронке) троян.
    Картинка от Касперского во вложении.
    Что дальше делать?
    Изображения Изображения
    Вложения Вложения

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2917
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    19.05.2015
    Сообщений
    3
    Вес репутации
    6
    Цитата Сообщение от thyrex Посмотреть сообщение
    ЛОГ полного сканирования МВАМ
    Вложения Вложения

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2917
    Удалите в МВАМ только
    Код:
    Ключи реестра: 13
    PUP.Optional.ToolBar.WA, HKLM\SOFTWARE\CLASSES\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A}, , [df66f5a1acdec5713dfbd2bda65d946c], 
    PUP.Optional.ToolBar.WA, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A}, , [9ea73660e3a7eb4b1721b5da54af3dc3], 
    PUP.Optional.ToolBar.WA, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A}, , [b19499fde1a9e056fd3b2d629271b24e], 
    PUP.Optional.ToolBar.WA, HKLM\SOFTWARE\CLASSES\nsWebAlta.WebAltaSearchBar, , [cc79fa9ce7a3de584fe9e9a6bd466799], 
    PUP.Optional.FunMoods.A, HKLM\SOFTWARE\INSTALLCORE\funmoods, , [43021e78bbcf3afc4f69fd22e4215ea2], 
    PUP.Optional.VoPackage.A, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\VOPackage, , [a89d2472345668ce8b97bbb11aeb6c94], 
    PUP.Optional.RegCleanerPro.A, HKU\S-1-5-21-1131328099-337311330-2945725469-1000\SOFTWARE\SYSTWEAK\RegClean Pro, , [063f5f371377c1754cc271d314f1837d], 
    PUP.Optional.DigitalSites.A, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\DSiteProducts, , [76cf7620107a51e5347284e19d689a66], 
    PUP.FunMoods, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\Funmoods, , [c3824f47c0ca0f279ef16fc1ac5851af], 
    PUP.Optional.PassShow.A, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\APPDATALOW\SOFTWARE\PassShow, , [172e41558ffb85b19a0db73fe1226d93], 
    PUP.FunMoods, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\INSTALLCORE\funmoods, , [ca7b10868307b482b2de74bc828255ab], 
    PUP.Optional.InstallCore.A, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\INSTALLCORE, , [380d2f676f1b78beb6c3de60897cbb45], 
    PUP.Optional.RegCleanerPro.A, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\SYSTWEAK\RegClean Pro, , [df66b0e64347e25425e9162ea26318e8], 
    
    Параметры реестра: 2
    PUP.Optional.VOPackage, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\VOPACKAGE|UninstallString, "C:\Users\????N????? ????N??µN?????\AppData\Roaming\VOPackage\uninstall.exe", , [cc79afe7a5e5082e3842a75eaf5520e0]
    PUP.Optional.InstallCore.A, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\INSTALLCORE|tb, 1P1O1N1R1G1M1J, , [380d2f676f1b78beb6c3de60897cbb45]
    
    Данные реестра: 2
    Hijack.StartPage, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Search Page, http://webalta.ru/search, Хорошо: (http://www.google.com/), Плохо: (http://webalta.ru/search),,[8db86a2c91f92c0a63a6d6497f87a858]
    Hijack.SearchPage, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCH|SearchAssistant, http://webalta.ru/search, Хорошо: (http://www.Google.com/), Плохо: (http://webalta.ru/search),,[b98c405627632610dae161bc9d69926e]
    
    Папки: 8
    PUP.Optional.FunMoods.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Funmoods\UpdateProc, , [b68fdbbbe0aaa29469f530facc38c13f], 
    PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro, , [370ea9eda3e794a2764f7e2948bbc040], 
    PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro\Version 6.1, , [370ea9eda3e794a2764f7e2948bbc040], 
    PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DigitalSites\UpdateProc, , [6dd8dcba3852bf7709cb566745be837d], 
    PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DSite\UpdateProc, , [172e088ec6c4f24418be6b5251b21fe1], 
    PUP.Optional.VOPackage.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\VOPackage, , [24217422cebc51e59f53f1de56ad2ed2], 
    PUP.Optional.VOPackage.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage, , [fc49e2b4e0aacf676c8718b760a38e72], 
    PUP.Optional.ToolBar.WA, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Webalta Toolbar, , [e263ebab51394cea222f6a66e122639d], 
    
    Файлы: 42
    Trojan.Agent, C:\Users\????N????? ????N??µN?????\Thumbsdb.bat, , [63e270267f0bbb7ba8def9fb847fe719], 
    PUP.Optional.FunMoods.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Funmoods\UpdateProc\config.dat, , [b68fdbbbe0aaa29469f530facc38c13f], 
    PUP.Optional.FunMoods.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Funmoods\UpdateProc\gup_dt.dat, , [b68fdbbbe0aaa29469f530facc38c13f], 
    PUP.Optional.FunMoods.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Funmoods\UpdateProc\info.dat, , [b68fdbbbe0aaa29469f530facc38c13f], 
    PUP.Optional.FunMoods.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Funmoods\UpdateProc\MESSAGE.txt, , [b68fdbbbe0aaa29469f530facc38c13f], 
    PUP.Optional.FunMoods.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Funmoods\UpdateProc\STTL.DAT, , [b68fdbbbe0aaa29469f530facc38c13f], 
    PUP.Optional.FunMoods.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Funmoods\UpdateProc\TTL.DAT, , [b68fdbbbe0aaa29469f530facc38c13f], 
    PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro\MESSAGE.txt, , [370ea9eda3e794a2764f7e2948bbc040], 
    PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\ExcludeList.rcp, , [370ea9eda3e794a2764f7e2948bbc040], 
    PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\log_05-30-2014.log, , [370ea9eda3e794a2764f7e2948bbc040], 
    PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\MESSAGE.txt, , [370ea9eda3e794a2764f7e2948bbc040], 
    PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\results.rcp, , [370ea9eda3e794a2764f7e2948bbc040], 
    PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\russian_rcp_ru.dat, , [370ea9eda3e794a2764f7e2948bbc040], 
    PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\TempHLList.rcp, , [370ea9eda3e794a2764f7e2948bbc040], 
    PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DigitalSites\UpdateProc\config.dat, , [6dd8dcba3852bf7709cb566745be837d], 
    PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DigitalSites\UpdateProc\info.dat, , [6dd8dcba3852bf7709cb566745be837d], 
    PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DigitalSites\UpdateProc\MESSAGE.txt, , [6dd8dcba3852bf7709cb566745be837d], 
    PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DigitalSites\UpdateProc\STTL.DAT, , [6dd8dcba3852bf7709cb566745be837d], 
    PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DigitalSites\UpdateProc\TTL.DAT, , [6dd8dcba3852bf7709cb566745be837d], 
    PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DSite\UpdateProc\info.dat, , [172e088ec6c4f24418be6b5251b21fe1], 
    PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DSite\UpdateProc\MESSAGE.txt, , [172e088ec6c4f24418be6b5251b21fe1], 
    PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DSite\UpdateProc\prod.dat, , [172e088ec6c4f24418be6b5251b21fe1], 
    PUP.Optional.VOPackage.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\VOPackage\MESSAGE.txt, , [24217422cebc51e59f53f1de56ad2ed2], 
    PUP.Optional.VOPackage.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage\Configure.lnk, , [fc49e2b4e0aacf676c8718b760a38e72], 
    PUP.Optional.VOPackage.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage\MESSAGE.txt, , [fc49e2b4e0aacf676c8718b760a38e72], 
    PUP.Optional.ToolBar.WA, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Webalta Toolbar\MESSAGE.txt, , [e263ebab51394cea222f6a66e122639d],
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,558
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Антон Нечипоренко, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 18.03.2015, 12:19
    2. Ответов: 4
      Последнее сообщение: 09.02.2015, 23:56
    3. Зашифрованы файлы Doc, docx, xls, xlsx
      От Алексей Сорокин в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 19.02.2014, 21:27
    4. Зашифрованы файлы формата docx, jpeg,xlsx. Разрешение не изменено.
      От Анна Бережецкая в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 23.11.2013, 01:35
    5. Ответов: 5
      Последнее сообщение: 17.04.2012, 21:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01519 seconds with 22 queries