Зашифроовало [email protected] 1.2.0.0.id-GJMPSVYADFILNQTVYADGJLNRTWZBEGJMORUX-12.12.201510@[email protected]

[kot488]

Открываю я сегодня свой чудо ПК, а у меня большенство файлов пропало((((

вот куча таких файлов на диске: [email protected]-CL 1.2.0.0.id-GJMPSVYADFILNQTVYADGJLNRT...OQTWYB.EGK.cbf


Походу кто то словил шифровальщина, файлы созданы все в одно и тоже самое время 12 декабря 2015 г., 11:15:46

И теперь пропала функция поиска, думал по маске найти все файлы да удалить но не открывает поиск, никакой ошибки не выдает

При проверке на вирусы был обнаружен Trojan.Win32.Scar

Проверку на avz и касперского уже делал.


так же добавляю:
Зашифрованый файл
http://rghost.ru/78kvXHFjD
Отчет AdwCleaner (by Xplode)
http://rghost.ru/private/6bNcNk9DN/7580b94...ab2e894be15c0a2


Addition.txt
http://rghost.ru/private/8WPH5DPHh/8c1ecbb...2b32ea0fac335d4

FRST.txt
http://rghost.ru/private/6mdyMvqsP/be296da...c70910685d34145

[Info_bot]

Уважаемый(ая) kot488, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[kot488]

И с avz отчет

[thyrex]

Логи нужны с компьютера, ставшего источником шифрования

[kot488]

Логи нужны с компьютера, ставшего источником шифрования

Так это они и есть

[kot488]

Так что вариантов нет?

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[kot488]

В первом сообщении были прикреплены эти отчеты

[thyrex]

Лазить по обменникам я не буду

[kot488]

сделал

[kot488]

Будет время посмотрите пожалуйста возможно ли расшифровать файлы, спасибо за отзывчивость)

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
AlternateDataStreams: C:\Documents and Settings\alla:id
AlternateDataStreams: C:\Documents and Settings\byx:id
AlternateDataStreams: C:\Documents and Settings\direktor:id
AlternateDataStreams: C:\Documents and Settings\olya:id
AlternateDataStreams: C:\Documents and Settings\Администратор:id
2015-12-12 10:59 - 2015-12-12 11:26 - 0000081 _____ () C:\Program Files\TUNWPDWWCZ.XKT
2015-11-25 17:26 - 2015-11-25 17:26 - 00032768 _____ C:\Documents and Settings\direktor\Local Settings\Temp\~DF5CA.tmp
2015-11-25 17:26 - 2015-11-25 17:26 - 00032768 _____ C:\Documents and Settings\direktor\Local Settings\Temp\~DF53B.tmp
2015-11-25 17:26 - 2015-11-25 17:26 - 00016384 _____ C:\Documents and Settings\direktor\Local Settings\Temp\~DF596.tmp
2015-11-25 17:26 - 2015-11-25 17:26 - 00000512 ____T C:\Documents and Settings\direktor\Local Settings\Temp\~DF5D4.tmp
2015-11-25 17:26 - 2015-11-25 17:26 - 00000512 ____T C:\Documents and Settings\direktor\Local Settings\Temp\~DF5A0.tmp
2015-11-25 17:26 - 2015-11-25 17:26 - 00000512 ____T C:\Documents and Settings\direktor\Local Settings\Temp\~DF545.tmp
2015-11-25 17:26 - 2015-11-25 17:26 - 00000000 ____T C:\Documents and Settings\direktor\Local Settings\Temp\~DF6891.tmp
2015-11-25 17:26 - 2015-11-25 17:26 - 00000000 ____T C:\Documents and Settings\direktor\Local Settings\Temp\~DF630B.tmp
2015-12-14 11:21 - 2015-12-14 11:21 - 00032768 _____ C:\Documents and Settings\direktor\Local Settings\Temp\~DFFFD7.tmp
2015-12-14 11:21 - 2015-12-14 11:21 - 00032768 _____ C:\Documents and Settings\direktor\Local Settings\Temp\~DFFEDB.tmp
2015-12-14 11:21 - 2015-12-14 11:21 - 00000512 ____T C:\Documents and Settings\direktor\Local Settings\Temp\~DFFFE2.tmp
2015-12-14 11:21 - 2015-12-14 11:21 - 00000512 ____T C:\Documents and Settings\direktor\Local Settings\Temp\~DFFF11.tmp
2015-12-14 11:20 - 2015-12-14 11:20 - 00016384 ____T C:\Documents and Settings\direktor\Local Settings\Temp\~DFF275.tmp
2015-12-14 11:20 - 2015-12-14 11:20 - 00016384 ____T C:\Documents and Settings\direktor\Local Settings\Temp\~DFEA65.tmp

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Перезагрузите сервер вручную

[kot488]

Сделал
Смотрю по логих то не нашло то что нужно? я все файлы которые зашифровало удалил, может их востановить?

[thyrex]

С расшифровкой не поможем

[kot488]

Спасибо за помощь

Можно Вопрос? что должно было бть в тех файлах темпа? И почему только от одно учетки?

Нашел вот эти файлы через р-студия, согласно файлу Fixlog.txt,

C:\Program Files\TUNWPDWWCZ.XKT
C:\Documents and Settings\direktor\Local Settings\Temp\~DF5CA.tmp
C:\Documents and Settings\direktor\Local Settings\Temp\~DF53B.tmp
C:\Documents and Settings\direktor\Local Settings\Temp\~DF596.tmp
C:\Documents and Settings\direktor\Local Settings\Temp\~DF5D4.tmp
C:\Documents and Settings\direktor\Local Settings\Temp\~DF5A0.tmp
C:\Documents and Settings\direktor\Local Settings\Temp\~DF545.tmp
C:\Documents and Settings\direktor\Local Settings\Temp\~DF6891.tmp
C:\Documents and Settings\direktor\Local Settings\Temp\~DF630B.tmp
C:\Documents and Settings\direktor\Local Settings\Temp\~DFFFD7.tmp
C:\Documents and Settings\direktor\Local Settings\Temp\~DFFFE2.tmp
C:\Documents and Settings\direktor\Local Settings\Temp\~DFFEDB.tmp
C:\Documents and Settings\direktor\Local Settings\Temp\~DFFF11.tmp
C:\Documents and Settings\direktor\Local Settings\Temp\~DFF275.tmp
C:\Documents and Settings\direktor\Local Settings\Temp\~DFEA65.tmp

может попробовать вернуть назад и опять проделать это?
2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[thyrex]

Это простой мусор

[kot488]

Это простой мусор

Извини за надоедание, а чего мы тогда его искали?

[thyrex]

Наша приоритетная задача - зачистка следов вирусов, а расшифровка по мере возможности

[kot488]

Нашел у себя такой вирус heur backdoor.win32.generic, читаю в инете вроде как шифровальщик и создан был сегодня ночь, хотя никто на машине не работал, все стандартные порты закрыты, на рдп был придуман порт с головы, админские права забраны у всех кроме одной учетки. По авторизации только учетка службы акронис, не ужели в ней вирусня сидит(

KIS уже час крутиться никак вылечить не может




А вот это уже в логах kis показало

[mike 1]

backdoor.win32.generic - открывает удаленный доступ к вашему компьютеру злоумышленнику.

хотя никто на машине не работал, все стандартные порты закрыты, на рдп был придуман порт с головы, админские права забраны у всех кроме одной учетки

А Вы пароли от всех учеток меняли после этого случая?