Помогите! Вирус Trojan.Win32.Filecoder.az зашифровал файлы

**Prokop78** · 05.12.2016, 17:32

Коллеги, прошу Вашей помощи.
Сегодня ночью вирус Trojan.Win32.Filecoder.az зашифровал файлы на моем ПК.

Файлы вида:
[email protected] 1.3.1.0.id-@@@@@3CE4-07ED.randomname...EFGHII.KLM.mmn

В каждой папке лежит readme.txt с содержимым вида "to decrypt files write to this mail [email protected]"

Ссылка на файлобменник: http://dropmefiles.com/oMG1H

Там находится 4 файла - 2 файла зашифрованы и 2 этих же файла-оригиналы (восстановленные ShadowExplorer)

Буду признателен за любую оказанную помощь, заранее благодарю!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 05.12.2016, 17:34

Уважаемый(ая) Prokop78, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Prokop78** · 05.12.2016, 19:44

Спасибо за ответ!
Утилита AVZ не находит проблем.
Исполняемый файл, который непосредственно выполнил шифрование, отследить удалось.
Файл называется Clear.exe, я его переименовал и переместил в карантин у себя на ПК.
При необходимости могу выложить его на файлообменник.

**Prokop78** · 06.12.2016, 12:35

Проверил исполняемый фай на вирусы на сайте virustotal.com.
Результаты:
AVG Crypt5.COAS 20161205
AhnLab-V3 Trojan/Win32.Filecoder.C235763 20161204
Antiy-AVL Trojan[:HEUR]/Win32.AGeneric 20161205
CrowdStrike Falcon (ML) malicious_confidence_85% (D) 20161024
ESET-NOD32 Win32/Filecoder.NHT 20161204
Ikarus Trojan.Symmi 20161204
Jiangmin Trojan.Inject.ung 20161205
Kaspersky Trojan.Win32.Filecoder.az 20161205
Malwarebytes Ransom.FileCryptor 20161205
NANO-Antivirus Trojan.Win32.Cybergate.cqkzpm 20161205
Panda Generic Malware 20161204
Qihoo-360 HEUR/QVM10.1.0000.Malware.Gen 20161205

**thyrex** · 07.12.2016, 21:25

http://virusinfo.info/pravila.html

**Prokop78** · 08.12.2016, 00:16

Благодарю за напоминание, thyrex

Во вложении данного сообщения находятся
hijackthis.log
virusinfo_syscheck.zip
virusinfo_syscure.zip

- - - - -Добавлено - - - - -

Добавляю логи farbar

**thyrex** · 09.12.2016, 19:55

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
2016-12-05 00:16 - 2016-12-05 00:16 - 00000070 _____ S:\Users\Sokolov\README.txt
2016-12-05 00:16 - 2016-12-05 00:16 - 00000070 _____ S:\Users\Sokolov\Downloads\README.txt
2016-12-05 00:16 - 2016-12-05 00:16 - 00000070 _____ S:\Users\Sokolov\Documents\README.txt
2016-12-05 00:16 - 2016-12-05 00:16 - 00000070 _____ S:\Users\Sokolov\AppData\Roaming\README.txt
2016-12-05 00:16 - 2016-12-05 00:16 - 00000070 _____ S:\Users\Sokolov\AppData\README.txt
2016-12-05 00:16 - 2016-12-05 00:16 - 00000070 _____ S:\Users\Sokolov\AppData\LocalLow\README.txt
2016-12-05 00:16 - 2016-12-05 00:16 - 00000070 _____ S:\Users\Sokolov\AppData\Local\README.txt
2016-12-05 00:15 - 2016-12-05 00:15 - 00000070 _____ S:\Users\Public\README.txt
2016-12-05 00:15 - 2016-12-05 00:15 - 00000070 _____ S:\Users\Public\Downloads\README.txt
2016-12-05 00:15 - 2016-12-05 00:15 - 00000070 _____ S:\Users\Public\Documents\README.txt
2016-12-05 00:15 - 2016-12-05 00:15 - 00000070 _____ S:\Users\Default\README.txt
2016-12-05 00:15 - 2016-12-05 00:15 - 00000070 _____ S:\Users\Default\Downloads\README.txt
2016-12-05 00:15 - 2016-12-05 00:15 - 00000070 _____ S:\Users\Default\Documents\README.txt
2016-12-05 00:15 - 2016-12-05 00:15 - 00000070 _____ S:\Users\Default\Desktop\README.txt
2016-12-05 00:15 - 2016-12-05 00:15 - 00000070 _____ S:\Users\Default\AppData\Roaming\README.txt
2016-12-05 00:15 - 2016-12-05 00:15 - 00000070 _____ S:\Users\Default\AppData\README.txt
2016-12-05 00:15 - 2016-12-05 00:15 - 00000070 _____ S:\Users\Default\AppData\Local\README.txt
2016-12-05 00:15 - 2016-12-05 00:15 - 00000070 _____ S:\Users\Default User\Downloads\README.txt
2016-12-05 00:15 - 2016-12-05 00:15 - 00000070 _____ S:\Users\Default User\Documents\README.txt
2016-12-05 00:15 - 2016-12-05 00:15 - 00000070 _____ S:\Users\Default User\Desktop\README.txt
2016-12-05 00:15 - 2016-12-05 00:15 - 00000070 _____ S:\Users\Default User\AppData\Roaming\README.txt
2016-12-05 00:15 - 2016-12-05 00:15 - 00000070 _____ S:\Users\Default User\AppData\README.txt
2016-12-05 00:15 - 2016-12-05 00:15 - 00000070 _____ S:\Users\Default User\AppData\Local\README.txt
2016-12-05 00:13 - 2016-12-05 00:15 - 00000070 _____ S:\ProgramData\README.txt
2016-12-05 00:12 - 2016-12-05 00:15 - 00000000 ____D S:\ProgramData\TEMP
S:\Users\Prokopenko\AppData\Local\Temp\i4jdel0.exe
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

**Prokop78** · 09.12.2016, 22:41

Благодарю.
Файл fixlog.txt находится во вложении.

**thyrex** · 10.12.2016, 12:03

Чистка мусора завершена.

С расшифровкой помочь не сможем

**Prokop78** · 11.12.2016, 00:48

Благодарю

Помогите! Вирус Trojan.Win32.Filecoder.az зашифровал файлы (заявка № 206563)

Опции темы