Добрый день! Случилась такая беда. На рабочий компьютер пришло письмо вот такого содержания
"День добрый!
Скидываю акты и накладные по прошлогодней поставке (во вложении).
В соответствии с нашей информацией за Вашим предприятием до сих пор числится недоплата.
Прошу проверить нашу информацию и ответить по возможности оплаты.
С уважением! Директор ООО "РАСТР" В.В. Софронов
т. раб.(843)2-90-48-55"
И архив,якобы с документами. Менеждер по незнанию и не умению особо работать с компьютером распаковала этот архивчик и приплыли собственно.
Все файлы exel,word,xls,jpg зашифрованы. Возможно ли достать эти документы или хана?
Файлы по инструкции во вложении. Заранее спасибо.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Юлия Моторина, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Деньги за восстановление информации (с расшифровкой помогут только злодеи) вычитайте из ЗП менеджера. Не обеднеет...
Поможем только с зачисткой следов вирусов.
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','32');
DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','32');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
HKLM\...\Run: [pr] => C:\Program Files\explore.exe
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www1.delta-search.com/?babsrc=NT_ss&mntrId=ECFE005345000000&affID=122471&tt=160713_91114&tsp=4946" <======= ATTENTION
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
Toolbar: HKLM - No Name - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - No File
Toolbar: HKU\S-1-5-21-725345543-343818398-1606980848-1018 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Documents and Settings\Admin\Local Settings\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found>
2015-09-07 11:23 - 2015-09-07 11:23 - 0000064 _____ () C:\Program Files\BVVSDDHLEP.VPS
2015-09-07 12:57 - 2015-09-07 12:57 - 0927422 _____ () C:\Program Files\desk.bmp
2015-09-07 12:57 - 2015-09-07 12:57 - 0153239 _____ () C:\Program Files\desk.jpg
2015-09-07 11:54 - 2015-09-07 12:57 - 0000081 _____ () C:\Program Files\WVGKJLPVYB.ZPV
2015-09-07 13:04 - 2015-02-02 18:07 - 00000000 ____D C:\Documents and Settings\Пользователь\Application Data\02022015
Reboot:
2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
было так по моему,папка Screen compressed\explore.exe
после записи в блокноте и перезагрузке C:\Program Files\7zip archiver\Screen compressed-папка пуста
- - - - -Добавлено - - - - -
thyrex,
Рабочий день у нас заканчивается,офис закрывают.. Смогу далее отвечать только завтра... Спасибо,что помогаете....
Ответить с цитированием
Сообщение от Юлия Моторина
))
и сохраните на Рабочем столе.
