Шифровальщик *.cbf.

Printable View

03.08.2015, 17:57
kos_43

Вложений: 2

Шифровальщик *.cbf.

Добрый вечер!
Точнее уже не добрый! Словили шифровальщика, аналогичному в теме [SIZE=2][URL="http://virusinfo.info/showthread.php?t=187988"]Словили шифровальщика. Все документы с расширением *.cbf [/URL] [/SIZE]
03.08.2015, 17:58
Info_bot

Уважаемый(ая) [B]kos_43[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
03.08.2015, 18:22
thyrex

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
03.08.2015, 18:28
kos_43

Вложений: 2

Отчет FRST
03.08.2015, 18:39
thyrex

Не вижу ни одного признака шифрованного файла в логах

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
Task: {4E3EAE93-F902-420F-88A4-DED6E7487B97} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe <==== ATTENTION
C:\Program Files (x86)\MyPC Backup
HKLM-x32\...\Run: [] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://www.mystartsearch.com/?type=hp&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://www.mystartsearch.com/?type=hp&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
HKU\S-1-5-21-2635311791-2667800279-86612714-1283\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
HKU\S-1-5-21-2635311791-2667800279-86612714-1283\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX
HKU\S-1-5-21-2635311791-2667800279-86612714-1283\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2635311791-2667800279-86612714-1283 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
Reboot:
[/code]
[list][*]Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
03.08.2015, 18:49
kos_43

Вложений: 1

[QUOTE=thyrex;1301292]Не вижу ни одного признака шифрованного файла в логах[/QUOTE]

Может всё потому, что они лежат не на диске С ?

Лог FIX
03.08.2015, 19:01
thyrex

На диске С тоже должны быть характерные признаки в виде идентификационного файла в папке Program Files (x86)
03.08.2015, 19:06
kos_43

Была папка "1С" с файлами, которая и появилась после запуска "шифровальщика". Антивирусник ее грохнул. Может и я что-нибудь левое удалил оттуда.
Сейчас как быть и что делать?
03.08.2015, 19:09
thyrex

А сам файл, пришедший по почте, сохранился?
03.08.2015, 19:11
kos_43

Есть ссылка на него! Прям в открытом виде эту ссылку сюда кинуть?
03.08.2015, 19:27
thyrex

Ссылку мне в личные сообщения
03.08.2015, 19:32
kos_43

Отправлено
03.08.2015, 19:49
thyrex

Получил.

С расшифровкой не поможем
03.08.2015, 20:00
kos_43

Что ж... и на этом спасибо!