Зашифровались файлы в тип *.paycrypt@gmail_com [not-a-virus:Monitor.Win32.LA.a ]

[Jenny-chka]

Добрый день.

Помогите, пожалуйста, разобраться с вирусами.
08.10.2014 создала тему Зашифровались файлы в *.just (заявка № 168736) - разбираемся.

Сегодня в 12:01 появились новые файлы с расширением *.paycrypt@gmail_com, тип файлов: "файл paycrypt@gmail_com".

Проблема еще и в том, что у нас 12 компов в сети. Папка, в которой зашифровались файлы, находится на отдельном диске Synilogy, доступ к которому есть у всех компов.
Как понять, на каком их них вирус, чтобы сделать логи?

[Info_bot]

Уважаемый(ая) Jenny-chka, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Сегодня в 12:01 появились новые файлы с расширением *.paycrypt@gmail_com, тип файлов: "файл paycrypt@gmail_com".

Ищите в локальной сети сотрудника, который через почту открыл очередное письмо счастья.

[Jenny-chka]

1) Каким образом его можно найти?
2) Как избежать этого в будущем, если стоит Касперский, но не видит вирус? Не могу же я проверять каждое письмо каждого сотрудника перед открытием
3) Как отловить вирус сейчас? Поможет ли переустановка винды? Просто так будет быстрее, чем искать на всех компах и пытаться вылечить.

- - - - -Добавлено - - - - -

Нашли комп, на котором есть зашифрованные файлы.

Восстановить зашифрованные файлы, как понимаю, уже не получится.

Подскажите, что можно сделать в данной ситуации?
Сейчас комп поставлен на проверку, логи прикреплю, как будут готовы.

[mike 1]

Как избежать этого в будущем, если стоит Касперский, но не видит вирус? Не могу же я проверять каждое письмо каждого сотрудника перед открытием

Делайте резервные копии ценных данных на отдельный жесткий диск, который постоянно не подключен к компьютеру. Обучайте персонал базовой компьютерной грамотности.

Поможет ли переустановка винды?

Не поможет. Более того есть риск потерять свои файлы окончательно.

Восстановить зашифрованные файлы, как понимаю, уже не получится.

Не получится т.к. используется стойкий алгоритм шифрования RSA 1024.

[Jenny-chka]

Да уже бог с ними, с файлами... Важно, чтобы вылечить и не распространить на другие компы.

Почему не поможет переустановка винды? Каким образом избавиться от вирусу на ВСЕХ компах?

[mike 1]

Почему не поможет переустановка винды?

Да ради бога форматируйте, но файлы не вернете переустановкой системы. Я даже более скажу потеряете файлы KEY.PRIVATE и UNIQUE.PRIVATE можете забыть про свои файлы.

аким образом избавиться от вирусу на ВСЕХ компах?

На каждом компьютере собираете логи по инструкции и для каждого компьютера создаете отдельную тему.

[Jenny-chka]

Я прекрасно понимаю, что файлы не расшифруются после переустановки. Сейчас важнее, чтобы все остальные не зашифровались.
Если на каждом компе собирать логи и ждать ответа - не один день пройдет, а нам работать нужно

Кстати, данные файлы нашла и сохранила, плюс,
%temp%\pubring.gpg
"%temp%\secring.gpg

- - - - -Добавлено - - - - -

Логи АВЗ сохранить не получается, комп надолго зависает, а потом выдает сообщение, что у меня нет прав на сохранение файла на рабочий стол (и вообще в другие места, кроме "Мои документы" админского профиля.
Что делать?

- - - - -Добавлено - - - - -

Вычислили комп.
После долгих танцев с бубнами - прикрепляю логи.

- - - - -Добавлено - - - - -

Файлы дешифровать не нужно - жалко времени и сил, быстрее инфу выдернуть из почты всю.
Важно сейчас сделать так, чтобы вирус не пополз дальше.

[mike 1]

Здравствуйте! Рекомендации написаны для компьютера с которого были сняты virusinfo_syscheck.zip , hijackthis2.txt. Архив KL_Syscure.zip не смотрел т.к. на каждую тему должен быть 1 компьютер.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Program Files\suptab\search~2.dll','');
 QuarantineFile('C:\Program Files\suptab\dpinterface32.dll','');
 QuarantineFile('C:\PROGRA~1\SupTab\SEARCH~1.DLL','');
 DeleteFile('C:\PROGRA~1\SupTab\SEARCH~1.DLL','32');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
 DeleteFile('C:\Windows\Tasks\DSite.job','32');
 DeleteFile('C:\Windows\Tasks\UpdaterEX.job','32');
 DeleteFile('C:\Windows\system32\Tasks\Digital Sites','32');
 DeleteFile('C:\Windows\system32\Tasks\DSite','32');
 DeleteFile('C:\Windows\system32\Tasks\UpdaterEX','32');
 DeleteFile('C:\Program Files\suptab\dpinterface32.dll','32');
 DeleteFile('C:\Program Files\suptab\search~2.dll','32');          
BC_ImportAll;
ExecuteSysClean;
BC_Activate;    
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1396242598&from=cor&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U823215932159
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1396242598&from=cor&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U823215932159&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1396242598&from=cor&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U823215932159&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1396242598&from=cor&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U823215932159
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1396242598&from=cor&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U823215932159
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1396242598&from=cor&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U823215932159&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1396242598&from=cor&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U823215932159&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1396242598&from=cor&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U823215932159
O20 - AppInit_DLLs: C:\PROGRA~1\SupTab\SEARCH~1.DLL

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Jenny-chka]

Нарушили последовательность и запустили сначала AdwCleaner, поэтому прикрепляю логи ДО и ПОСЛЕ проверка АВЗ.

В HiJackThis из перечисленных строк не было ни одной.

[mike 1]

запустили сначала AdwCleaner

Активатор для офиса теперь может слететь.

Логи в порядке.

[Jenny-chka]

Не страшно, активируем заново

Т.е. комп теперь совсем не опасный и можно его в сеть пускать?

[mike 1]

Т.е. комп теперь совсем не опасный и можно его в сеть пускать?

Да.

[Jenny-chka]

Спасибо огромное!!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\lasys\wssfcmai.exe - not-a-virus:Monitor.Win32.LA.a