Printable View
Всем доброго времени суток!
Бухгалтеру пришло письмо
[LEFT][FONT=Arial][SIZE=2]Здравствуйте.[/SIZE][/FONT][/LEFT]
[LEFT][FONT=Arial][SIZE=2]Высылаю карточку предприятия для выставления счета.
Ну она и открыла. В итоге 1С, все документы оказались зашифрованы. Все заканчиваются на [email protected]
Прилагаю результаты сканирования, сам вирус тоже в наличии(при необходимости).
[/SIZE][/FONT]
[/LEFT]
Уважаемый(ая) [B]kavi333[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Логи собирали на его компьютере или он его на сервере прямо запустил?
[QUOTE=thyrex;1379718]Логи собирали на его компьютере или он его на сервере прямо запустил?[/QUOTE]
В локалке 3 ПК - сервер и 2 рабочих машины менеджеров с Win XP. Вирус запустили на сервере, оттуда он по сети полез на машины менеджеров и тоже делов натворил.
Логи собраны с сервера.
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Полученные в пп. 4 и 5 логи заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
Готово
Образцы шифрованных файлов пришлите, но вероятность расшифровки весьма низкая
Прикрепил.
Подскажите, каково поведение этих вирусов? Они после выполнения работы самоудаляются или сидят и шифруют потом новые документы?
Я Dr.Web Cure it прошелся - он ничего не нашел. Kaspersky Virus Removal Tool нашел пару этих "реквизитов" и удалил. Причем только на машине, с которой все началось.
И чем еще лучше просканить для верности?
[quote="kavi333;1379766"]Они после выполнения работы самоудаляются[/quote]В большинстве своем - да.
Активного шифратора в логах нет.
[QUOTE=thyrex;1379756]Образцы шифрованных файлов пришлите, но вероятность расшифровки весьма низкая[/QUOTE]
Ничего сделать с этой заразой не получилось, я так понимаю?
Увы