BREAKING_BAD

Доброго Вам времени, уважаемые коллеги! Прошу Вашей помощи.
У пользователя на ПК с админскими правами, во время работы в Сбис, вдруг перестали открываться некоторые документы. Пользователь сочтя за глюк, перезагрузил ПК. Установленный на этом ПК ESET NOD32 Antivirus4 (v.4.0.417.0), после перезагрузки, вдруг обнаруживает и помещает в карантин файл csrss.exe, идентифицируя его, как Injector.CQSA. Запущенный вручную сканер НОДы ни чего предосудительного не находит. Однако (!) аудит ресурсов выявил, как зашифрованные целиком директории, так и выборочные файлы. [SPOILER=Картинка:][IMG]http://113.imagebam.com/download/QhsQIodJLx4gz8uGa83f1Q/46292/462910556/qq.JPG[/IMG][/SPOILER] От вируса пострадали, по всей видимости, файлы 1С, MSO, а так же JPG. Но не всё, не все и не везде. Анализ системных логов и соотношение даты создания файлов, даёт основание полагать, что действия вири были остановлены в течении минут, по всей видимости, благодаря НОДе. После этого, все программы работают вполне штатно, однако, зашифрованные файлы остаются зашифрованными.
Далее система была подвергнута изучением "Зайцевым". AVZ, в свою очередь, в каждом зашифрованном файле обнаружил признаки Exploit.MSPPoint.Agent.j (ну и еще, так, по мелочи, в логах увидите, зловредное уже по-прибито).
Обращаюсь к Вам впервые письменно, потому как ранее находил все ответы здесь поиском. Сейчас же решения задачи, увы, не нашел. К посту прикладываю, требуемые Вами логи и [URL="https://dropmefiles.com/hphgy"]ссыль[/URL] для образцов зашифрованных файлов MSO. Буду благодарен за компетентный совет - стоит ли думать о спасении зашифрованных файлов или "понять и простить"?

Уважаемый(ая) [B]Grey Wolf[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Доброго дня, коллеги!
К ранее приложенным логам прикладываю отчёты FRST. Надеюсь на помощь!

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('globalroot\systemroot\system32\mschr.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ctfmon.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\svchost.exe','');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\svchost.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\autoload','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ntuser','command');
DeleteFile('C:\WINDOWS\system32\drivers\ctfmon.exe','32');
DeleteFile('globalroot\systemroot\system32\mschr.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.

[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]

[B]@thyrex[/B], спасибо за отклик!
Файлики карантина - выложены по "красной ссылке", логи приаттачены.

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Полученные в пп. 4 и 5 логи заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.

[B]thyrex[/B], спасибо за участие!
Логи FRST [URL="http://virusinfo.info/showthread.php?t=196664&p=1355507&viewfull=1#post1355507"]уже выкладывал[/URL], но, видимо, Вы их посчитали не актуальными.
Выкладываю свежие.

p.s. Наверное, уже пора переходить к платной части нашего сотрудничества? Или еще не все логи окончательно собраны?

Логи в порядке.

С расшифровкой не поможем никаким образом

[B]thyrex[/B], доброе!
Т.е. нет ни какого смысла оформлять [URL="http://virusinfo.info/payments.php?do=order"]Подписку[/URL] на «Помощь в расшифровке файлов, пострадавщих от шифровальщиков»?
Просто я всё это время полагал, что до этого мы с Вами собираем лишь данные; неукоснительно соблюдал правила и верно ждал! Может быть есть какая-то возможность помочь?

[quote="Grey Wolf;1356996"]Может быть есть какая-то возможность помочь?[/quote]Увы, мы тоже не всесильны