Офисные файлы переименованы и зашифрованы и добавлено расширение [email protected]_RB306

[tennisprof77]

Добрый день!

один из компьютеров в сети стал переименовывать офисные файлы(doc, xls, pdf и прочее) на сетевом ресурсе.
пример переименованного файла: для_лехи[email protected]_RB306. возврат расширения на номральное не приводит к открытию файла , то есть похоже он еще и шифрует их.
За час работы вирус успел много файлов так переименовать, пока это не было замечено сотрудниками и вирусный комп был в итоге найден и отключен от сети . Самое интересное, что на компьютере с Windows 7 стоял майкрософтовский бесплатный антивирус и у пользователя даже нет администраторских прав. Сам вирус так и не смог найти, поиск по форумам по расширению и имени ничего не дал . может кто-нить сталкивался с таким зловредом и знает, как расшифровать файлы?

[Info_bot]

Уважаемый(ая) tennisprof77, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

http://virusinfo.info/pravila.html

[tennisprof77]

Загрузил файлы

[thyrex]

Куда собственно?
Логи прикрепляют на форуме

[tennisprof77]

virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.zip

сори исправляюсь

- - - Добавлено - - -

прогнал комп касперским и drweb - они так ничего и не нашли... понять бы как оно прошло и где сидит , если конечно сидит еще , при том, что и антивирус стоял и прав админских нет и форточки семерка ..

[tennisprof77]

Добрый день
Логи прикрепил теперь правильно или опять что-то не так?
Заметил, что после моего сообщения . посты на тему священников с редбулом поползли как грибы. антивирусы судя из постов у народа тоже молчат.
Так как же эта хрень пролезает то :-(?

Ради интереса решил написать письмо на их адрес RED BULL <[email protected]>
с фразой "how much is that fish", как поется в одной из песен , ответ пришел тутже.

Hallo liewe Sowjet vriende! Te ontsluit en kry die dekodeerder, moet jy
skenk aan kinders in Afrika 2 Bitcoins die gebruik van elektroniese betaling by die tempo van https://btc-e.com/
Net om seker te maak, kan jy stuur vir ons 'n ge?nkripteer l?er, dekripteer, en ons sal jou l?er stuur na sy oorspronklike toestand.

Здравствуйте, дорогие советские друзя! Для разблокировки и получения дешифратора, Вам необходимо
пожертвовать детям африки 2 биткоина при помощи электронного платежа по курсу https://btc-e.com/
Так же для проверки,вы можете прислать нам зашифрованный файл, мы дешифруем и вышлем ваш файл в исходном состоянии.

"друзя" и "детям африки" меня сильно порадовало .. а 2 биткоина это по курсу почти 7500 руб .. вот так то

[tennisprof77]

Добрый день!

так есть возможность расшифорвать файлы и вернуть данные?

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\ygulakova\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1JQ5H9J2\312[1].html','');
 QuarantineFile('C:\Users\YGULAK~1\AppData\Local\Temp\3fa72.exe','');
 DeleteFile('C:\Users\YGULAK~1\AppData\Local\Temp\3fa72.exe','32');
 DeleteFile('C:\Windows\Tasks\bm1jj6r.job','32');
 DeleteFile('C:\Windows\system32\Tasks\bm1jj6r','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи