Поймали шифровальщика, помогите! ([email protected])

[Константин Ширшов]

Добрый день! Поймали вирус-шифровальщик, скорее всего по почте т.к. компьютер секретаря и почты в день идет очень много. Как только поняли что это вирус отключили от сетки, но было поздно вирус начал работу и на серваке( теперь имеем полностью зашифрованный компьютер секретаря и частично сервера).
По завершению работы на компьютере секретаря вышла табличка (вместо обоев) на рабочем столе с уведомлением, что все файлы зашифрованы, с предложением "отправить 1 зашифрованный файл на почту [email protected]; и угрозой что на все про все у нас есть неделя, по прошествии которой файлы будет уже не восстановить!

Зашифрованные файлики выглядят таким образом: [email protected]-CL 1.2.0.0.id-SUTUOBWHNQBMNQBKPYYHFHABRSMFVOHSSDWH-03.11.2015 9@[email protected]

На компьютере секретаря имелся антивирус Kaspersky Anti-Virus 6.0 for Windows Workstations MP4, но он ничего не нашел и не выявил(...
Для оформления заявки были скачены Две программы: AVZ и HiJackThis, по инструкции в процессе диагностики этими программами получилось три файлика, прикрепляем их к нашей теме.
Помогите пожалуйста нашей беде! Если что то еще будет нужно мы сразу это сделаем.

[Info_bot]

Уважаемый(ая) Константин Ширшов, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Program Files\explore.exe','');
 DeleteFile('C:\Program Files\explore.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[Константин Ширшов]

Добрый день! Сделал все как было написано в инструкции. Уточните пожалуйста файлики сформированные в результате выполнения двух скриптов в карантин же нужно было загрузить? данные вопрос возник потому как согласно приложения 2 выгрузка архива карантина немного отличается. На всякий случай сделал и то и другое и оба загрузил по ссылке "Прислать запрошенный карантин".Так же после этого выполнил повторную выгрузку логов по правилам п. 2 и 3 раздела диагностика, и прикрепил их к этому сообщению.Считаю необходимым сообщить вам что зараженный компьютер был просканирован бесплатной лечащей утилитой Dr.Web CureIt. Этой утилитой были обезврежены 3 вируса. Скриншот карантина (лог файлов превысил размер и не вошел) Dr.Web CureIt так же прикрепляю к данному сообщению. Надеюсь данное действие не будет сочтено за нарушение правил и вы не откажите нам в дальнейшем в помощи! Надеюсь лечение утилитой Dr.Web CureIt не помешает вам в диагностике и решению возникшей проблемы. Файлы найденные утилитой Dr.Web CureIt находятся в карантине и если они понадобятся я думаю их можно будет извлечь.

[mike 1]

Ну доктор слопал сам шифровальщик

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Константин Ширшов]

Программу скачал, запустил по инструкции, файлик Addition прикрепил к сообщению

[mike 1]

Второй лог не нужен?

[Константин Ширшов]

Прошу прощения, вот он.

[mike 1]

Антивирус Касперского 6.0 для Windows Workstations (HKLM\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1611 - Лаборатория Касперского)

Антивирус уже давно снят с поддержки. Обновляйтесь до KES 10! Переход на новую версию бесплатный.



ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKLM\...\Run: [] => [X]
  2015-11-03 09:23 - 2002-01-01 23:40 - 00000080 _____ C:\Program Files\NGAEFGGTOC.LAL
  2015-11-03 09:22 - 2015-11-03 09:22 - 00000000 ____D C:\Program Files\MKV Archive
  2002-01-01 23:40 - 2002-01-01 23:40 - 0927422 _____ () C:\Program Files\desk.bmp
  2002-01-01 23:40 - 2002-01-01 23:40 - 0153239 _____ () C:\Program Files\desk.jpg
  2015-11-03 09:23 - 2002-01-01 23:40 - 0000080 _____ () C:\Program Files\NGAEFGGTOC.LAL

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Константин Ширшов]

Все сделал и прикрепил лог

[mike 1]

С расшифровкой не поможем.

[Константин Ширшов]

Ясно, спасибо что помогли удостовериться что вариантов нет. Будем форматировать тогда все.

[mike 1]

А зачем форматировать? Если файлы не нужны, то удалите файлы по маске *.cbf. Страшный и злобный вирус удален

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения вредоносные программы в карантинах не обнаружены