[COLOR=#333333]Все картинки и word файлы превратились в такие надписи: [/COLOR][EMAIL="[email protected]"][email protected][/EMAIL][COLOR=#333333]-CL 1.3.0.0.id и тип файла "CBF" (.cbf)[/COLOR]
Printable View
[COLOR=#333333]Все картинки и word файлы превратились в такие надписи: [/COLOR][EMAIL="[email protected]"][email protected][/EMAIL][COLOR=#333333]-CL 1.3.0.0.id и тип файла "CBF" (.cbf)[/COLOR]
Уважаемый(ая) [B]Rain45[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[B][COLOR=#FF0000]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе [URL="http://virusinfo.info/forumdisplay.php?f=46"]Лечение компьютерных вирусов[/URL] и выполните [URL="http://virusinfo.info/content.php?r=136-pravila"]Правила оформления запроса о помощи[/URL].
Здравствуйте!
Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[B][COLOR=#000080]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
DeleteFile('C:\install\install\taskmgr.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','HKLM');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HKCU');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies');
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера.
Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR=Blue]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
[email][email protected][/email]-CL 1.3.0.0.id-
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list=1][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]
[email][email protected][/email]-CL 1.3.0.0.id-
[B][COLOR="#FF0000"]ВНИМАНИЕ![/COLOR][/B] Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
[list=1][*][URL="https://clck.ru/9knjD"][B]Временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].[*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
Folder: C:\install
2016-05-31 10:28 - 2016-05-31 17:59 - 00000081 _____ C:\Program Files (x86)\TRDCXFQNGZ.RDK
2016-05-31 10:27 - 2016-05-31 10:27 - 00000000 ____D C:\Program Files (x86)\note
2016-05-31 17:59 - 2016-05-31 17:59 - 00927422 _____ C:\Program Files (x86)\desk.bmp
2016-05-31 17:59 - 2016-05-31 17:59 - 0927422 _____ () C:\Program Files (x86)\desk.bmp
2016-05-31 17:59 - 2016-05-31 17:59 - 0153239 _____ () C:\Program Files (x86)\desk.jpg
2016-05-31 10:28 - 2016-05-31 17:59 - 0000081 _____ () C:\Program Files (x86)\TRDCXFQNGZ.RDK
zip:C:\FRST\Quarantine
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[*][B][COLOR="Blue"]Внимание![/COLOR][/B] Если на рабочем столе будет создан архив [b]upload.zip[/b], то загрузите этот архив через [url=http://virusinfo.info/upload_virus.php?tid=37678]данную форму[/url][/list]
[email][email protected][/email]-CL 1.3.0.0.id-
А как поймали шифровальщика?
На почтовый сервер администрации области пришло письмо с exel приложением. Затем это письмо было загружено в outlook express и открыто сотрудником.
Уверены, что в письме был exe файл? А Вы администратор локальной сети?
Честно говоря я не видел совершенно не чего, это всё со слов сотрудника. После того как всё зашифровало все письма из outlook пропали. Поэтому не могу утверждать какой тип файла был. Да я администратор локальной сети. Весь интернет идёт через прокси сервер администрации. Почта физически тоже на их сервере.
[QUOTE]После того как всё зашифровало все письма из outlook пропали.[/QUOTE]
Этот шифровальщик их не удаляет.
[QUOTE]C:\install\install\taskmgr.exe[/QUOTE]
Если только к Вам удаленно не зашли через Backdoor, а судя по отчетам он у Вас был.
Есть ли возможность восстановить данные?
То, что нужно для расшифровки ваших файлов зашифровано 3 ключами по 4096 бит. Такие длинные ключи никто подбирать не станет, следовательно файлы ваши смогут расшифровать только злодеи либо их посредники, которые за ваши деньги у них будут выкупать дешифратор с ключом.
Всё понятно, спасибо большое за время потраченное на выяснение причины и возможности восстановления.
Пароли меняйте все. Судя по наличию этой C:\install папки у злоумышленника был удаленный доступ к вашему компьютеру.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]