подхватили [email protected]

Сотрудница запустила вложение из письма, теперь закодированы файлы и изменены расширения на [EMAIL="[email protected]"][email protected][/EMAIL]. Подскажите, пожалуйста, что нам делать.

Уважаемый(ая) [B]elsa15[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Вложение из письма сохранилось?

Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\PROGRA~3\Mozilla\csalzgi.exe','');
DeleteFile('C:\PROGRA~3\Mozilla\csalzgi.exe','32');
DeleteFile('C:\Windows\system32\Tasks\zojdqhe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

+ Картинку зашифрованную в архиве пришлите.

Похоже нет. В письме была ссылка [url]http://artisticrock.com/pics/[/url] сейчас там нет ни чего. Похоже от туда скачали файл. Смотрел во временных интернет файлах нашел подозрительный файл с именем 74E0.exe, но судя по дате он там давно лежит. В папке ЗАГРУЗКИ тоже ни чего.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[ATTACH]487297[/ATTACH][ATTACH]487296[/ATTACH][ATTACH]487295[/ATTACH]1. закинуть карантин не смог -> при попытке отправить файл 'quarantine.zip' Получил: Результат загрузки Ошибка загрузки. Данный файл уже был загружен.
2. прикрепил
3. Вот картинка [url]https://cloud.mail.ru/public/c44d0a01a2c6/222.jpg.contact%40casinomtgox.com[/url]

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

извините, картинку не в архиве выслал, вот в архиве https://cloud.mail.ru/public/750453d1e4cf/111.jpg.contact%40casinomtgox.zip

[INFORMATION][color="#FF0000"][b]Внимание![/b][/color]

[color="#0000FF"]Данная рекомендация по расшифровке предназначена только для пользователя [b]elsa15[/b]
Во избежание [u]окончательной потери информации[/u] использовать ее другим пострадавшим от данной разновидности шифровальщика без нашей предварительной проверки [/color][color="#FF0000"][b]не рекомендуется[/b][/color]

Скачайте [URL="http://download.geo.drweb.com/pub/drweb/tools/te102decrypt.exe"]te102decrypt.exe[/URL] и сохраните [B][color="#0000CD"]в корень диска С[/color][/B].

В командной строке введите:
[code]C:\te102decrypt.exe -k 567 –t 12[/code]

[B][COLOR="#FF0000"]Внимание!!![/COLOR][/B]
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет

2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались[/information]

Сделал все как написали, запустил от администратора C:\te102decrypt.exe -k 567 -t 12, но к сожалению ни один файл корректно не декодировался. Может есть другие варианты?

Прикрепите несколько файлов которые не расшифровались.

В архивахдо декодирования
[url]https://cloud.mail.ru/public/d686b070c323/%D0%94%D0%95%D0%A2%D0%90%D0%9B%D0%98%D0%97%D0%90%D0%A6%D0%98%D0%AF%20%D0%91%D0%A3%D0%A0%D0%90%D0%99%D0%9A%D0%98%D0%9D%D0%90.pdf[/url]
[url]https://cloud.mail.ru/public/2b6a0e4be7d4/%D0%94%D0%95%D0%A2%D0%90%D0%9B%D0%98%D0%97%D0%90%D0%A6%D0%98%D0%AF%20%D0%91%D0%A3%D0%A0%D0%90%D0%99%D0%9A%D0%98%D0%9D%D0%90.pdf.zip[/url]
[url]https://cloud.mail.ru/public/d61fa57172a9/Scan1.JPG[/url]
[url]https://cloud.mail.ru/public/c34146a73f49/Scan1.JPG.zip[/url]
[url]https://cloud.mail.ru/public/657eeda2ccc6/%D0%98%D0%A1%D0%9A%D0%9E%D0%92%D0%9E%D0%95%20%D0%97%D0%90%D0%AF%D0%92%D0%9B%D0%95%D0%9D%D0%98%D0%95%20%D0%9E%20%D0%92%D0%97%D0%AB%D0%A1%D0%9A%D0%90%D0%9D%D0%98%D0%98%20%D0%9A%D0%9E%D0%9C%D0%9F%D0%95%D0%9D%D0%A1%D0%90%D0%A6%D0%98%D0%98%20%D0%9C%D0%9E%D0%A0%D0%90%D0%9B%D0%AC%D0%9D%D0%9E%D0%93%D0%9E%20%D0%92%D0%A0%D0%95%D0%94%D0%90%20%D0%92%20%D0%A0%D0%95%D0%97%D0%A3%D0%9B%D0%AC%D0%A2%D0%90%D0%A2%D0%95%20%D0%94%D0%A2%D0%9F.docx[/url]
[url]https://cloud.mail.ru/public/02e063f1cd25/%D0%98%D0%A1%D0%9A%D0%9E%D0%92%D0%9E%D0%95%20%D0%97%D0%90%D0%AF%D0%92%D0%9B%D0%95%D0%9D%D0%98%D0%95%20%D0%9E%20%D0%92%D0%97%D0%AB%D0%A1%D0%9A%D0%90%D0%9D%D0%98%D0%98%20%D0%9A%D0%9E%D0%9C%D0%9F%D0%95%D0%9D%D0%A1%D0%90%D0%A6%D0%98%D0%98%20%D0%9C%D0%9E%D0%A0%D0%90%D0%9B%D0%AC%D0%9D%D0%9E%D0%93%D0%9E%20%D0%92%D0%A0%D0%95%D0%94%D0%90%20%D0%92%20%D0%A0%D0%95%D0%97%D0%A3%D0%9B%D0%AC%D0%A2%D0%90%D0%A2%D0%95%20%D0%94%D0%A2%D0%9F.docx.zip[/url]

Все присланные файлы успешно расшифровались. Прикрепите лог C:\te102.txt

это обнадеживает!!!
[url]https://cloud.mail.ru/public/921c529fca56/te102log.txt[/url]

Здесь C:\te102decrypt.exe__-k в команде лишний пробел попробуйте его убрать.

В командной строке лишнего пробела не обнаружил, но перенабрал и запустил. Дескриптор еще работает не знаю какой будет процент всех вылеченных файлов, но пока все отлично декодируется! ОГРОМНОЕ СПАСИБО! И кошелек ваш через яндекс пополнил и базу чистых файлов пополню! ;)

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в AVZ при наличии доступа в интернет:

[CODE]
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]