ПОМОГИТЕ! Поймал шифровальщик [email protected] [Exploit.Win32.Agent.ix, not-a-virus:RiskTool.Win32.LogClear.a ]

**GaZZoN** · 05.04.2017, 00:10

Доброго времени суток!

Троян зашифровал базу данных 1С и переименовывая расширения файлов на *[email protected]
+ вдобавок переименовал все *.doc/txt/xls...... и много других
Так же в зашифрованных папках имеется файл-инструкция следующего содержания:

Зашифрованы файлы? Пишите: [email protected] Ваш ПИН: 24!

На машине стоит Symantec Endpoint Protection и он его определил как trojan gen2, Касперский пишет Exploit.Win32.Agent.ix, но его видно отключили и запустили вирус, в пятницу, в конце дня........ и до утра понедельника практически все зашифровал.
Сам вирус(eopw7.exe), shellcode.dll a так же файл, которым были зачищены логи восстановил и могу прикрепить

Помогите решить проблему, с меня + в карму и монета в поддержку.
заранее благодарен.

П.с. сам вирус есть

CollectionLog-2017.04.04-22.56.zip

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 05.04.2017, 00:11

Уважаемый(ая) GaZZoN, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 05.04.2017, 11:16

Сообщение от GaZZoN

Сам вирус(eopw7.exe), shellcode.dll a так же файл, которым были зачищены логи восстановил и могу прикрепить

Восстановите, заархивируйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в теме.

Срочно: скрытый файл C:\Intel\winprotect.exe (а лучше все содержимое папки) заархивируйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в теме.

**GaZZoN** · 05.04.2017, 13:24

Все закинул в один архив. Все эти файлы изначально и находились в одной папке C:\Intel\

**thyrex** · 06.04.2017, 09:45

Жаль, но шифратора похоже не оказалось среди файлов

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**GaZZoN** · 06.04.2017, 14:38

Все сделал, что дальше?

**thyrex** · 06.04.2017, 15:15

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKLM\...\Run: [WinProtect] => C:\Intel\winprotect.exe
AppInit_DLLs: C:\NeoSpy\Files\w2b.dll => No File

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Перезагрузку компьютера выполните вручную.

**GaZZoN** · 06.04.2017, 16:04

thyrex, сделал

**thyrex** · 06.04.2017, 16:24

Предлагаю установить https://www.x-ways.net/winhex/ (на несистемный диск) и пробовать искать упоминания [email protected] в содержимом диска С.
Возможно удастся найти удаленное тело шифратора. Увы, иного способа попытаться найти тело шифратора не представляется возможным.

**GaZZoN** · 07.04.2017, 13:56

Просканировал диски и..... и ничего дельного не нашел(

**thyrex** · 08.04.2017, 22:15

Еще как вариант с помощью программ типа К-Studio искать то, что неизвестное было удалено на системном диске и пробовать восстановить

**GaZZoN** · 09.04.2017, 00:33

Сообщение от thyrex

Еще как вариант с помощью программ типа К-Studio искать то, что неизвестное было удалено на системном диске и пробовать восстановить

Уже делал, правда результата пока что нет(

**thyrex** · 09.04.2017, 08:16

И в папке C:\Intel нет ничего удаленного? В самой первой версии этого шифратора он находился в папке C:\cpqsystem\rel1711. Нет ничего подобного в удаленных?

**GaZZoN** · 13.04.2017, 15:31

Парадокс ситуации в том, что софт для восстановления даже не находит папку INTEL(.

**CyberHelper** · 13.04.2017, 15:41

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 4
В ходе лечения обнаружены вредоносные программы:
1. \intel\eopw7.exe - Exploit.Win32.Agent.ix
2. \intel\logsdel.exe - not-a-virus:RiskTool.Win32.LogClear.a ( DrWEB: Trojan.SMSSend.4486 )
3. \intel\shellcode.dll - Exploit.Win32.Agent.ix
4. \intel\winprotect.exe - Trojan.Win32.Agent.neznlj

ПОМОГИТЕ! Поймал шифровальщик [email protected] [Exploit.Win32.Agent.ix, not-a-virus:RiskTool.Win32.LogClear.a ] (заявка № 210886)

Опции темы