ПОМОГИТЕ РАСШИФРОВАТЬ ФАЙЛЫ ПОЖАЛУЙСТА!!! [Trojan.Win32.Agent.neyudu ]

**sasha141** · 24.01.2017, 12:20

Зашифровали все файлы (1 С, rar, exl, doc и т.д.). Можете мне помочь платно?
Вложение...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 24.01.2017, 12:21

Уважаемый(ая) sasha141, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**sasha141** · 24.01.2017, 12:40

Прислал запрошенный карантин Autologger

**thyrex** · 24.01.2017, 19:55

Нам нужны логи Autologger

**sasha141** · 24.01.2017, 21:15

примеры (ориг. doc + зашифр. doc )

**thyrex** · 24.01.2017, 21:44

У Вас проблемы с чтением?

Сообщение от Никита Соловьев

Имя файла, который требуется прикрепить имеет вид CollectionLog-yyyy.mm.dd-hh.mm.zip

где yyyy.mm.dd-hh — дата и время сканирования.

**sasha141** · 24.01.2017, 21:48

Прошу прощения, высылаю

**thyrex** · 24.01.2017, 22:08

Файлы зашифровались только на сервере?

Выполните скрипт в AVZ

Код:

begin
TerminateProcessByName('c:\program files\safesurf\csrss.exe');
 QuarantineFile('c:\program files\safesurf\csrss.exe','');
 DeleteFile('c:\program files\safesurf\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Csrss');
ExecuteSysClean;
end.

Перезагрузку компьютера выполните вручную.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

**sasha141** · 24.01.2017, 23:34

По красной ссылке Прислать запрошенный карантин над первым сообщением темы - прислал.

- - - - -Добавлено - - - - -

прикрепляю к сообщению НОВЫЕ логи Autologger, сделанные после выполнения скрипта.

**thyrex** · 24.01.2017, 23:58

Проигнорировали

Сообщение от thyrex

Файлы зашифровались только на сервере?

**sasha141** · 25.01.2017, 00:06

да, только на сервере. на всех локальных дисках+подключенном внешнем жестком диске

**thyrex** · 25.01.2017, 00:17

Тогда нужно смотреть логи сервера на предмет постороннего входа по RDP.

+ Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**sasha141** · 25.01.2017, 00:41

Скан FRST

- - - - -Добавлено - - - - -

вижу 20.01.2017 был вход через user8. т.к. 20.01.2017 не работал никто.

**thyrex** · 25.01.2017, 01:06

Вход был в какое время? 20 января -это пятница была. Точно никто не работал?

Смотрите, что запускалось (и вообще какие действия проходили под этим пользователем) под этим пользователем.

**sasha141** · 25.01.2017, 01:15

100 % никто не работал. У нас выходной в пятницу. В понедельник только все узнали.
По файлу frst.txt я смотрю, что 11:54 был вход, если не ошибаюсь. и дальше уже создавались какие-то файлы, типа C:\122FC292.key, C:\Setup.exe и т.д.

**thyrex** · 25.01.2017, 01:26

C:\Setup.exe
C:\msizap.exe
C:\122FC292.key

заархивируйте с паролем virus, выложите на обменник без капчи и времени ожидания и пришлите ссылку на скачивание

Пароль от RDP меняйте

**sasha141** · 25.01.2017, 01:49

Все сделал: https://yadi.sk/d/HQWuPAZS3AjkvS

**thyrex** · 25.01.2017, 06:52

exe-файлы тоже зашифрованы.

Увы, нужно искать сам файл, вызвавший шифрование

**sasha141** · 25.01.2017, 11:06

Как можно помочь мне в данной ситуации?
Не бросайте в беде пожалуйста.

**thyrex** · 25.01.2017, 12:29

Было бы тело шифратора, тогда можно было бы о чем-то думать. Тем более для предыдущей версии этого шифратора расшифровка у нас была

ПОМОГИТЕ РАСШИФРОВАТЬ ФАЙЛЫ ПОЖАЛУЙСТА!!! [Trojan.Win32.Agent.neyudu ] (заявка № 208499)

Опции темы