Printable View
Доброго времени суток.
Сотрудник открыл письмо от якобы ФНС и все файлы зашифровались.
После чего он самостоятельно проверил бесплатными утилитами.
Ссылка на два зашифрованных файла (в архиве) [URL]https://cloud.mail.ru/public/JxVN/zQEZbxzUZ[/URL]
Читал Ваш форум, кому-то повезло и смогли расшифровать.
Есть ли шансы?
Уважаемый(ая) [B]source44[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
DeleteFile('C:\Program Files\explore.exe','32');
ExecuteSysClean;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]
Скрипт выполнен.
Новые логи:
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Полученные в пп. 4 и 5 логи заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
В архиве два отчета.
C:\Documents and Settings\1\Local Settings\Temp\1C.exe заархивируйте с паролем virus (в имени архива не должно быть символов кириллицы) и пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
Toolbar: HKU\S-1-5-21-515967899-2052111302-839522115-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-515967899-2052111302-839522115-1003 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path\update_url>
2015-12-22 19:05 - 2015-12-22 19:05 - 0927422 _____ () C:\Program Files\desk.bmp
2015-12-22 19:05 - 2015-12-22 19:05 - 0153239 _____ () C:\Program Files\desk.jpg
2015-12-22 13:20 - 2015-12-22 14:13 - 0000081 _____ () C:\Program Files\OPWWZHGYSS.BOI
2015-12-22 13:18 - 2015-12-22 13:18 - 00000000 ____D C:\Program Files\SourceForge inc
C:\Documents and Settings\1\Local Settings\Temp\1C.exe
C:\Documents and Settings\1\Local Settings\Temp\amigo_setup.exe
CustomCLSID: HKU\S-1-5-21-515967899-2052111302-839522115-1003_Classes\CLSID\{122D5FEF-8711-4d87-A5BC-41ED5DF77258}\InprocServer32 -> C:\Documents and Settings\1\Local Settings\Temp\v8_42_b2.tmp => No File
CustomCLSID: HKU\S-1-5-21-515967899-2052111302-839522115-1003_Classes\CLSID\{56C2D5F5-0F32-45cb-AD75-87AF17CFDC27}\InprocServer32 -> C:\Documents and Settings\1\Local Settings\Temp\v8_42_b2.tmp => No File
CustomCLSID: HKU\S-1-5-21-515967899-2052111302-839522115-1003_Classes\CLSID\{57963704-EE80-4bc5-8421-66098E5832AE}\InprocServer32 -> C:\Documents and Settings\1\Local Settings\Temp\v8_42_b2.tmp => No File
CustomCLSID: HKU\S-1-5-21-515967899-2052111302-839522115-1003_Classes\CLSID\{68C0D34D-264F-4d64-AEF1-51C728DFDAD8}\InprocServer32 -> C:\Documents and Settings\1\Local Settings\Temp\v8_42_b2.tmp => No File
CustomCLSID: HKU\S-1-5-21-515967899-2052111302-839522115-1003_Classes\CLSID\{F62D2442-FE48-4cbc-9FCA-E19FC839461B}\InprocServer32 -> C:\Documents and Settings\1\Local Settings\Temp\v8_42_b2.tmp => No File
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении!
[list][*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
Файл в архиве отправил, лог ниже.
Есть архив в котором сидит сам шифровальщик.
Могу выслать если поможет.
Можете выслать. Но расшифровка нашими силами невозможна
Ребят, за помощь благодарю, но собственно лечение компьютера не требовалось. Изначально нужна только расшифровка. Получается только время потеряно.
Это если провести аналогию: у меня из ноги кровь течет, а Вы мне насморк лечите :))
С наступающим НГ, и успехов Вам.
Приоритетная задача этого раздела - избавить от следов вирусов. Остальное - по мере возможности
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]