Испорчены (зашифрованы) файлы doc и xls без изменения расширения

**Kataklysm** · 30.06.2017, 16:20

Не открываются документы. Антивирусы молчат. Все поврежденные файлы были изменены 27.06
Необходимые файлы восстановил. Возможно остался вирус в системе. Касперский не обновляется по причине поврежденных баз.
Логи и образцы зашифрованных файлов прилагаю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 30.06.2017, 16:23

Уважаемый(ая) Kataklysm, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 30.06.2017, 23:05

M.E.Doc (C:\ProgramData\Medoc\Medoc_2) (HKLM-x32\...\{A8E4B7BF-28A8-443F-A955-55DBFBE59240}) (Version: 10.01.160 - IntellectService)

Обновления 27 июня какие-нибудь ставили от этой программы?

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
2017-06-10 15:45 - 2017-06-10 15:45 - 00002642 _____ C:\WINDOWS\System32\Tasks\topnews17netpoim
2017-02-14 17:37 - 2017-02-14 17:37 - 0000000 _____ () C:\Users\Saha\AppData\Roaming\mail.log
2017-06-27 13:56 - 2017-06-27 13:56 - 0381816 _____ (Sysinternals - www.sysinternals.com) C:\ProgramData\dllhost.dat
Task: {41616F5D-E79C-40D7-9298-D63DCA1E833E} - System32\Tasks\topnews17netpoim => Chrome.exe topnews17.net/poim <==== ATTENTION
Folder: C:\ProgramData\Medoc

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Kataklysm** · 01.07.2017, 00:06

Спасибо. Последние обновления медка устанавливали.
Удивило, что кроме документов ничего не испорчено и нет ни одного "readme.txt"

**mike 1** · 01.07.2017, 17:39

Скрипт будете выполнять?

**Kataklysm** · 01.07.2017, 17:53

Да, не могу владельцу ПК дозвониться.

**Kataklysm** · 04.07.2017, 00:16

Скрипт выполнил. topnews17netpoim удалил ранее вручную.
Оказалось в медке испорчена база. Вложение 662460

**mike 1** · 04.07.2017, 22:07

C:\ProgramData\Medoc\Medoc_2\update\update.bat

Процитируйте содержимое файла.

Последние обновления медка устанавливали.

Через них и получили шифровальщика. https://xakep.ru/2017/06/30/wcry-copycat/

**Kataklysm** · 07.07.2017, 21:45

Пожалуйста:

update.bat

@echo off@..\update.exe /UC ? ? AUTO
:a1
if not exist updatelog.txt goto a2
@set sword=COMPLETE
@set fileg=updatelog.txt
@for /f %%s in ('find "%sword%" %fileg%') do @if "%%s"=="%sword%" goto a2
@echo wait 5 sec
@ping /n 5 127.0.0.1 > nul
@set sword='FINISH: UR'
@set fileg=updatelog.txt
@for /f %%s in ('find "%sword%" %fileg%') do @if "%%s"=="%sword%" goto a2
@echo wait 5 sec
@ping /n 5 127.0.0.1 > nul

@echo return
@goto a1
:a2
@echo End.
@del *.upd
@del update.bat

Скрыть

Испорчены (зашифрованы) файлы doc и xls без изменения расширения (заявка № 213476)

Опции темы