Вирус-шифровальщик [email protected]

Бухгалтер сегодня открыла письмо "из налоговой", все файлы зашифрованы с разными расширениями (mtc, ege, hic, etc...), имена файлов однотипные: [email][email protected][email protected][/email]-CL 1.3.1.0.id-ZFQRQWOQXEHKXKMQDQSVIVYBOBDHUHJMZMPS-04.10.2016 [email]8@11@208256424@@@@@A451-1046.randomname-DHUGJIAHMZMOZMQSUHKNJMZBDGJMDH.BFX.gsb[/email], [email][email protected][email protected][/email]-CL 1.3.1.0.id-ZFQRQWOQXEHKXKMQDQSVIVYBOBDHUHJMZMPS-04.10.2016 [email]8@11@208256424@@@@@A451-1046.randomname-CCKEIXCVCMJIISFEAKXGISFDFFSRTC.SNU.mtc[/email]. После заражения выполнил Cureit от DR.Web (на компьютере стоял Антивирус Касперского 6.0.4.1424), вылечил 5 файлов, затем согласно инструкции запустил скрипты на avz и утилиту HiJackThis. Помогите пожалуйста, если возможно. Заранее спасибо.

Уважаемый(ая) [B]catlazy79[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте!


[quote="catlazy79;1406204"]на компьютере стоял Антивирус Касперского 6.0.4.1424[/quote]
Версия устаревшая и не поддерживается, а также в ней отсутствует модуль защиты от подобных инцидентов. При наличии лицензии обновите до KES10.

Процитируйте содержимое файла C:\START.BAT

Дополнительно:
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B], [B]Addition.txt[/B], [B]Shortcut.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

START.BAT - "subst R: E:\SHARED"

Создайте текстовый файл [B]fixlist.txt[/B] в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
[code]start
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2016-10-04 08:46 - 2016-10-04 08:46 - 00000101 _____ C:\README.txt
2016-10-04 08:45 - 2016-10-04 08:45 - 00000101 _____ C:\Program Files\README.txt
2016-10-04 08:44 - 2016-10-04 08:44 - 00000101 _____ C:\Program Files\Common Files\README.txt
2016-10-04 08:41 - 2016-10-04 08:41 - 00000101 _____ C:\Documents and Settings\Администратор\Рабочий стол\README.txt
2016-10-04 08:41 - 2016-10-04 08:41 - 00000101 _____ C:\Documents and Settings\Администратор\README.txt
2016-10-04 08:41 - 2016-10-04 08:41 - 00000101 _____ C:\Documents and Settings\README.txt
2016-10-04 08:40 - 2016-10-04 08:40 - 00000101 _____ C:\Documents and Settings\Администратор\Мои документы\README.txt
2016-10-04 08:39 - 2016-10-04 08:39 - 00000101 _____ C:\Documents and Settings\Администратор\Главное меню\Программы\README.txt
2016-10-04 08:39 - 2016-10-04 08:39 - 00000101 _____ C:\Documents and Settings\Администратор\Главное меню\README.txt
2016-10-04 08:39 - 2016-10-04 08:39 - 00000101 _____ C:\Documents and Settings\Администратор\Local Settings\README.txt
2016-10-04 08:38 - 2016-10-04 08:38 - 00000101 _____ C:\Documents and Settings\Администратор\Local Settings\Application Data\README.txt
2016-10-04 08:36 - 2016-10-04 08:36 - 00000101 _____ C:\Documents and Settings\Администратор\Application Data\README.txt
2016-10-04 08:36 - 2016-10-04 08:36 - 00000101 _____ C:\Documents and Settings\NetworkService\README.txt
2016-10-04 08:36 - 2016-10-04 08:36 - 00000101 _____ C:\Documents and Settings\NetworkService\Local Settings\README.txt
2016-10-04 08:36 - 2016-10-04 08:36 - 00000101 _____ C:\Documents and Settings\NetworkService\Local Settings\Application Data\README.txt
2016-10-04 08:36 - 2016-10-04 08:36 - 00000101 _____ C:\Documents and Settings\NetworkService\Application Data\README.txt
2016-10-04 08:36 - 2016-10-04 08:36 - 00000101 _____ C:\Documents and Settings\LocalService\README.txt
2016-10-04 08:36 - 2016-10-04 08:36 - 00000101 _____ C:\Documents and Settings\LocalService\Local Settings\README.txt
2016-10-04 08:36 - 2016-10-04 08:36 - 00000101 _____ C:\Documents and Settings\LocalService\Local Settings\Application Data\README.txt
2016-10-04 08:36 - 2016-10-04 08:36 - 00000101 _____ C:\Documents and Settings\LocalService\Application Data\README.txt
2016-10-04 08:36 - 2016-10-04 08:36 - 00000101 _____ C:\Documents and Settings\Default User\Рабочий стол\README.txt
2016-10-04 08:36 - 2016-10-04 08:36 - 00000101 _____ C:\Documents and Settings\Default User\Мои документы\README.txt
2016-10-04 08:36 - 2016-10-04 08:36 - 00000101 _____ C:\Documents and Settings\Default User\Главное меню\Программы\README.txt
2016-10-04 08:36 - 2016-10-04 08:36 - 00000101 _____ C:\Documents and Settings\Default User\Главное меню\README.txt
2016-10-04 08:36 - 2016-10-04 08:36 - 00000101 _____ C:\Documents and Settings\Default User\README.txt
2016-10-04 08:36 - 2016-10-04 08:36 - 00000101 _____ C:\Documents and Settings\Default User\Local Settings\README.txt
2016-10-04 08:36 - 2016-10-04 08:36 - 00000101 _____ C:\Documents and Settings\Default User\Local Settings\Application Data\README.txt
2016-10-04 08:36 - 2016-10-04 08:36 - 00000101 _____ C:\Documents and Settings\Default User\Application Data\README.txt
2016-10-04 08:36 - 2016-10-04 08:36 - 00000101 _____ C:\Documents and Settings\All Users\Рабочий стол\README.txt
2016-10-04 08:36 - 2016-10-04 08:36 - 00000101 _____ C:\Documents and Settings\All Users\Главное меню\Программы\README.txt
2016-10-04 08:36 - 2016-10-04 08:36 - 00000101 _____ C:\Documents and Settings\All Users\Главное меню\README.txt
2016-10-04 08:36 - 2016-10-04 08:36 - 00000101 _____ C:\Documents and Settings\All Users\README.txt
2016-10-04 08:36 - 2016-10-04 08:36 - 00000101 _____ C:\Documents and Settings\All Users\Application Data\README.txt
C:\Documents and Settings\Администратор\Local Settings\Temp\tmp309ba29153.exe
C:\Documents and Settings\Администратор\Local Settings\Temp\tmp59c8a29836.exe
C:\Documents and Settings\Администратор\Local Settings\Temp\tmp7ef8a17550.exe
Reboot:
end[/code]
Отключите до перезагрузки антивирус, запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сделал.

При наличии лицензии на антивирус Касперского создайте [url=http://forum.kasperskyclub.ru/index.php?showtopic=48525]запрос на расшифровку[/url].