Помогите расшифровать файлы [email protected]

Начало стандартное: бухгалтер, письмо, приставы, зашифровка файлов.
У меня сеть, сервак, домен. У бухгалтера есть права админа. Касперский сработал, но не справился.
Шифрование началось в сетевых папках в основном по признаку последнего обновления файла. Файлы заражены разные: docx, xlsx, pdf, dwg, zip. Испорчено около 1000 файлов, всё происходило 10.06 и 11.06.
До того как ознакомился с правилами на форуме провёл зачистку на зараженном компе с помощью cureit!-a и поймал даже "зверька"(Судебный приказ...exe), положил его в архив на флешку.
Другие компы по идее не заражены, проверял также cureit!-om.
Сейчас запускал как сказано скрипт АВЗ. Первый раз забыл от имени Администратора, но делал всё в профиле где эти права есть. Потом запустил как надо и сделал повторный лог (если надо приложу).
Помимо логов АВЗ также создал virusinfo_autoquarantine, видимо, что-то нашёл ещё.

Уважаемый(ая) [B]randomfactor[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]

[QUOTE=thyrex;1125528]Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/URL][/QUOTE]

[URL="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]МВАМ[/URL] очень долго сканирует диск С, находит 6 угроз. Я нажимаю сохранить лог в txt и программа выдаёт ошибку, что будет закрыта. Я уже всю ночь пытаюсь сделать этот лог. Может в xml сохранится?
Может как-то по частям сделать проверку? на этом компьютере много файлов, может из-за этого виснет, не знаю.
Пробую дальше..

МВАМ очень долго сканирует (на единственном диске С много файлов), пару раз зависал на одном файле где-то в недрах папки windows, а сейчас до конца доводит проверку, показывает ,что нашёл 6 угроз, но при попытке сделать лог в txt - зависает и выдаётся сообщение о закрытии программы. Всю ночь такое длится..
Может в xml сохранить? Или области поиска сократить?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[QUOTE=thyrex;1125528]Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url][/QUOTE]

MBAM почему-то закрывается с ошибкой если сохранять лог в txt, сохранил в xml, такой тип файла не приложить, вот содержание:

2014/06/13 08:02:10 +0400 mbam-log-2014-06-13 (07-57-35).xml yes 2.00.2.1012 v2014.06.13.02 v2014.06.02.01 free disabled disabled disabled Windows 7 x86 shkurina NTFS custom completed 382880 7980 1 0 0 1 0 0 4 0 enabled enabled enabled enabled enabled disabled enabled enabled enabled C:\Windows\kmsem\KMService.exeTrojan.FakeAlert1836cce64d26b2c947ef31e16fe654ac5fa1 HKU\S-1-5-21-249096103-2232621991-2184576051-1192-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGONSysDebug32Trojan.Agent

[QUOTE] У бухгалтера есть права админа[/QUOTE]
Это не правильно. Поэтому виноват администратор сети. Деинсталлируйте новую версию MBAM. Потом

Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы, выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]

Программа работает уже 7 часов. Диск только один (С).
Может как-то по другому собрать необходимые логи?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Закончила. (10 часов.)

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Версия базы данных: v2014.06.13.06

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
shkurina :: САВ-10-2 [администратор]

13.06.2014 18:47:57
MBAM-log-2014-06-14 (05-13-12).txt

Тип сканирования: Полное сканирование (C:\|)
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 657949
Времени прошло: 10 часов , 12 минут , 31 секунд

Обнаруженные процессы в памяти: 1
C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> 1836 -> Действие не было предпринято.

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: y‰lкбБћFOu„¤@SоMйП]ҐЌКёЫd›jq x»гqO–¶љ=RрyПеЫ?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶LJСћa,ґ Д>ПH0n#ZК‘мЩЃ$Ь°66‘Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶АDлPОE>‰Ш•8лЌЫ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶Ы?хlСМ¶^ѓb
RFk -> Действие не было предпринято.

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 3
C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files\Microsoft Office\activator.exe (PUP.Hacktool) -> Действие не было предпринято.
C:\Users\User\Desktop\Активация\Активация Windows Loader.exe (Hacktool.Agent) -> Действие не было предпринято.

(конец)

Удалите в МВАМ только
[CODE]Обнаруженные параметры в реестре: 1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: y‰lкбБћFOu„¤@SоMйП]ҐЌКёЫd›jq x»гqO–¶љ=RрyПеЫ?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶LJСћa,ґ Д>ПH0n#ZК‘мЩЃ
$Ь°66‘Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶АDлPОE>‰Ш•8лЌЫ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶^ѓb
RFk -> Действие не было предпринято.[/CODE]

[QUOTE=thyrex;1125799]Удалите в МВАМ только
[CODE]Обнаруженные параметры в реестре: 1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: y‰lкбБћFOu„¤@SоMйП]ҐЌКёЫd›jq x»гqO–¶љ=RрyПеЫ?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶LJСћa,ґ Д>ПH0n#ZК‘мЩЃ
$Ь°66‘Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶АDлPОE>‰Ш•8лЌЫ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶Ы?хlСМ ¶^ѓbRFk -> Действие не было предпринято.[/CODE][/QUOTE]

"Помещено в карантин и успешно удалено."
Готово.

В логах придраться не к чему

[QUOTE=thyrex;1125877]В логах придраться не к чему[/QUOTE]

а расшифровать файлы поможете?

p.s. напомню, что у меня есть exe-шник, который изначально был скачан и запущен (если он поможет)

[QUOTE=randomfactor;1125990]а расшифровать файлы поможете?
[/QUOTE]

Очень жду ответа, друзья. Поможете?

C этим проблема

Нет ключа для моего случая?

[QUOTE=randomfactor;1126226]Нет ключа для моего случая?[/QUOTE]

Помогите!
:sos:

[quote="randomfactor;1126226"]Нет ключа для моего случая?[/quote]Если и есть, как Вы предлагаете проверить? Зашифрованного файла от Вас мы не увидели

[QUOTE=thyrex;1126443]Если и есть, как Вы предлагаете проверить? Зашифрованного файла от Вас мы не увидели[/QUOTE]

[ATTACH]479161[/ATTACH]
Вот некоторые разных видов

На текущий момент нет подходящего ключа для вашего варианта.

[QUOTE=mike 1;1126473]На текущий момент нет подходящего ключа для вашего варианта.[/QUOTE]

Ответили из доктор веба
Вроде как нашли мой ключ
Проверил их утилиту на нескольких файлах, работает

А какая у вас версия утилиты?

[QUOTE=mike 1;1129066]А какая у вас версия утилиты?[/QUOTE]

В заголовке окна утилиты написано 1.10.17 x32

Дайте пожалуйста ссылку на загрузку этой версии утилиты.

[url]http://download.geo.drweb.com/pub/drweb/tools/te102decrypt.exe[/url]

в ком.строке писал: te102decrypt.exe -k 532 -t 8

Понятно. Новая версия утилиты