Не открываются файлы doc и xls [Trojan-Ransom.Win32.Gen.cfq ]

**kreiser257** · 15.01.2017, 16:51

Добрый день!

После попыток открыть файлы на удаленном компе на работе по сети, у меня не стали открываться файлы doc и xls.
Наш системный администратор заморачиваться с проблемой не стал, на удаленном компе переустановил все заново, и все.
Всем сказал, что кто-то из нас запустил "поздравительное" письмо на этом компьютере, которое и привело к перешифровке всех файлов с любимыми расширениями (офис, картинки, пдф и т.д.). Как я сказал ранее у меня не открываются файлы doc и xls (которые расположены на диске с и д), а вот файлы которые расположены в письмах оутлука открываются нормально.
Компьютер - ноутбук, работаю и дома и на работе.

Вот поэтому прошу вас помочь мне с этой проблемой.
Прикрепляю лог от работы вашей программы.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 15.01.2017, 16:54

Уважаемый(ая) kreiser257, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 15.01.2017, 18:02

Логи после переустановки системы бесполезны.

Образцы шифрованных файлов выложите на файлообменник без капчи и времени ожидания. Пришлите ссылку на скачивание.

**kreiser257** · 15.01.2017, 19:36

У меня система не переустанавливалась.
Косячные файлы попробую выложить в облако, главное найти файл правильный и файл переделанный.

- - - - -Добавлено - - - - -

Вот, нашел у себя на компе файлы (до и после), выкладываю в облако.
https://drive.google.com/file/d/0B4R...ew?usp=sharing

**thyrex** · 15.01.2017, 19:38

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**kreiser257** · 15.01.2017, 19:58

Вот высылаю..

**thyrex** · 15.01.2017, 20:55

Так я и думал. Увы, Spora расшифровке не поддается.

C:\Users\Лукин\AppData\Local\Temp\540162c5-c713-2bdc-2269-7c039f92bf03.exe заархивируйте с паролем virus (в имени архива не должно быть символов кириллицы) и пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} =>  -> No File
ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} =>  -> No File
ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} =>  -> No File
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
AlternateDataStreams: C:\ProgramData\TEMP:F169C698 [137]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:F169C698 [137]
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

**kreiser257** · 15.01.2017, 21:41

Высылаю log который получился после запуска FRST

**kreiser257** · 16.01.2017, 14:30

А вот какое письмо пришло на компьютер, с которого все и началось:

день добрый. От Вас поступил платеж за строй-монтажные работы, но Вы же оплатили не полную стоимость... мы же по-другому договаривались.. или Вы ошиблись?? Высылаю еще раз счет и Вашу платежку, сверьте. И свяжитесь с нами, не могу Вам дозвониться!

И ко всему этому вложили zip файл со "счетом и платежкой". Думаю это и есть трояновирус...

**thyrex** · 17.01.2017, 19:36

Больше ничем помочь не сможем

**CyberHelper** · 17.01.2017, 19:46

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. \540162c5-c713-2bdc-2269-7c039f92bf03.exe - Trojan-Ransom.Win32.Gen.cfq ( BitDefender: Gen:Trojan.Heur.JP.bmGfaqOZnuki )

Не открываются файлы doc и xls [Trojan-Ransom.Win32.Gen.cfq ] (заявка № 208123)

Опции темы