Сотрудница при открытии почты активизировала вирус. Результат: все файлы на компьютере, имеющие расширение .doc зашифрованы. В конце каждого файла вместо расширения дописан адрес электронной почты. Проверка Kaspersky EndPoint не дала результатов - вирус не найден и фалы не дешифрованы.
По форумам выяснил, что возможно лечение и дешифровка с помощью AVZ , но для каждого случая заражения требуется требуется свой скрипт. Поэтому даю ссылочку на файлообменник ( http://yadi.sk/d/SiTF1t20M2N6q ) , где хранится один сархивированный зараженный файл (если нужно можем выложить еще) . В данный момент зараженный компьютер выключен и ожидает дальнейших мероприятий.
Просим помочь в решении данной проблемы, так как в данный момент не можем работать в полноценном режиме (наша организация станция переливания крови и многие больницы отправляют заявки на кровь именно через электронную почту).
С уважением Вячеслав Викторович
Пензенская областная станция переливания крови
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Вячеслав Викторович, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFileF('C:\Documents and Settings\Администратор\Application Data\518452487', '*', true, ' ', 0, 0);
QuarantineFile('C:\25 кадр\25кадр.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\518452487\3620140.html','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\518452487\3620140.html','32');
DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\518452487', '*', true, ' ');
DeleteDirectory('C:\Documents and Settings\Администратор\Application Data\518452487');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','315881537');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Размер полученного карантина 1,5 Мб и поэтому при его пересылке выдается сообщение "превышен лимит размера файла". Внутри архива самый большой avz005 - 2,5 Мб и датой почему-то 2012 год. Все остальные в пределах разумного и сегодняшней датой.
Что делать?