Показано с 1 по 8 из 8.

Зашифрованы файлы для работы (xlsx, docx, pdf, rar, zip, jpg). Прошу помочь. (заявка № 183952)

  1. #1
    Junior Member Репутация
    Регистрация
    19.05.2015
    Сообщений
    3
    Вес репутации
    8

    Зашифрованы файлы для работы (xlsx, docx, pdf, rar, zip, jpg). Прошу помочь.

    Пришло сообщение по электронной почте с темой "резюме" с прикрепленным Word-файлом. Файл сохранил, проверил "Касперским". При проверке данного файла ничего подозрительного "Касперский" не обнаружил. Двойным кликом открыл файл. В открывшемся Wordе появилась иконка PDF-ного файла. Открыл иконку двойным кликом, открылось в Acrobat Readerе резюме. Закрыл. "Касперский" выдал сообщение о трояне PDM:Trojan.Win32.Generic. Вылечил с перезагрузкой. Пошел на обед. После обеда обнаружил, что файлы xlsx, docx, pdf, rar, zip, jpg зашифрованы. Появился текстовый файл практически в каждой папке следующего содержания:
    " Унать стоимость декриптора можно, написав письмо на адрес:soldgreens@gmail.com
    В ТЕМЕ письма УКАЖИТЕ ВАШ ID:7743612416

    Убедительная просьба не пытаться расшифровать файлы сторонними инструментами.
    Вы можете их окончательно испортить и даже оригинальный дешифровщик не поможет.
    Обращения принимаются до 21.05.2015
    После 21.05.2015 любые обращения будут игнорироваться.

    Письма обрабатываются автоматической системой."

    При отправке ID на указанный адрес пришло сообщение следующего содержания:

    "Благодарим вас за обращение.
    Данное письмо создано автоматизированной системой.
    Стоимость вашего уникального ключа на данный момент составляет - 10 000 р.
    Если вы приняли решение об оплате - отправьте свое подтверждение.
    В ответ вы получите реквизиты и инструкцию по дальнейшим действиям.
    После получения вами реквизитов у вас будет ровно 4 часа для проведения оплаты.
    Если за это время от вас не поступили средства - ваши дальнейшие обращения будут игнорироваться.
    После подтверждения оплаты вы получите программу-декриптор, которая дешифрует все ваши документы.
    FAQ:
    Расшифруйте файл для пробы - никакие файлы без оплаты не отправляем.
    Где гарантии? - мы честно отправляем декриптор тем, кто его честно оплатил в указанный срок.
    Готов заплатить максимум 1000 рублей - робот не умеет торговаться.
    Можно оплатить как-то по-другому? - Нет, для оплаты используйте только ту платежную систему, которую вам указали.
    Причины по которым ваши обращения будут игнорироваться:
    - Оскорбления
    - Запрос реквизитов без последующей оплаты
    - Угрозы"

    Логи прикрепил. Зашифрованный файл прикрепил.
    Файл с "заразой" прикреплять или нет?
    Кстати, он не хочет архивироваться.
    Надеюсь на скорый ответ.
    С уважением, Антон.

    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,386
    Вес репутации
    337
    Уважаемый(ая) Антон Нечипоренко, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    95,003
    Вес репутации
    2996
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('c:\windows\system32\lasys\uamsrv.exe','');
     QuarantineFile('c:\windows\system32\lasys\uamapp.exe','');
     QuarantineFile('c:\windows\system32\lasys\system.exe','');
     QuarantineFile('c:\windows\system32\lasys\svchost.exe','');
     QuarantineFile('C:\Windows\system32\lasys\wssfcmai.exe','');
     QuarantineFile('C:\Users\Антон Кочетов\adobesystem.exe','');
     QuarantineFile('C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE','');
     QuarantineFile('C:\Users\03E5~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
     DeleteFile('C:\Users\03E5~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
     DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
     DeleteFile('C:\Users\Антон Кочетов\adobesystem.exe','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

    Сделайте новые логи по правилам
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    19.05.2015
    Сообщений
    3
    Вес репутации
    8
    Новые логи отправляю.
    Антивирус Касперского обнаружил в word-овском файле (резюме, которое пришло по электронке) троян.
    Картинка от Касперского во вложении.
    Что дальше делать?
    Изображения Изображения
    Вложения Вложения

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    95,003
    Вес репутации
    2996
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    19.05.2015
    Сообщений
    3
    Вес репутации
    8
    Цитата Сообщение от thyrex Посмотреть сообщение
    ЛОГ полного сканирования МВАМ
    Вложения Вложения

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    95,003
    Вес репутации
    2996
    Удалите в МВАМ только
    Код:
    Ключи реестра: 13
    PUP.Optional.ToolBar.WA, HKLM\SOFTWARE\CLASSES\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A}, , [df66f5a1acdec5713dfbd2bda65d946c], 
    PUP.Optional.ToolBar.WA, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A}, , [9ea73660e3a7eb4b1721b5da54af3dc3], 
    PUP.Optional.ToolBar.WA, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A}, , [b19499fde1a9e056fd3b2d629271b24e], 
    PUP.Optional.ToolBar.WA, HKLM\SOFTWARE\CLASSES\nsWebAlta.WebAltaSearchBar, , [cc79fa9ce7a3de584fe9e9a6bd466799], 
    PUP.Optional.FunMoods.A, HKLM\SOFTWARE\INSTALLCORE\funmoods, , [43021e78bbcf3afc4f69fd22e4215ea2], 
    PUP.Optional.VoPackage.A, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\VOPackage, , [a89d2472345668ce8b97bbb11aeb6c94], 
    PUP.Optional.RegCleanerPro.A, HKU\S-1-5-21-1131328099-337311330-2945725469-1000\SOFTWARE\SYSTWEAK\RegClean Pro, , [063f5f371377c1754cc271d314f1837d], 
    PUP.Optional.DigitalSites.A, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\DSiteProducts, , [76cf7620107a51e5347284e19d689a66], 
    PUP.FunMoods, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\Funmoods, , [c3824f47c0ca0f279ef16fc1ac5851af], 
    PUP.Optional.PassShow.A, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\APPDATALOW\SOFTWARE\PassShow, , [172e41558ffb85b19a0db73fe1226d93], 
    PUP.FunMoods, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\INSTALLCORE\funmoods, , [ca7b10868307b482b2de74bc828255ab], 
    PUP.Optional.InstallCore.A, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\INSTALLCORE, , [380d2f676f1b78beb6c3de60897cbb45], 
    PUP.Optional.RegCleanerPro.A, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\SYSTWEAK\RegClean Pro, , [df66b0e64347e25425e9162ea26318e8], 
    
    Параметры реестра: 2
    PUP.Optional.VOPackage, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\VOPACKAGE|UninstallString, "C:\Users\????N????? ????N??µN?????\AppData\Roaming\VOPackage\uninstall.exe", , [cc79afe7a5e5082e3842a75eaf5520e0]
    PUP.Optional.InstallCore.A, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\INSTALLCORE|tb, 1P1O1N1R1G1M1J, , [380d2f676f1b78beb6c3de60897cbb45]
    
    Данные реестра: 2
    Hijack.StartPage, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Search Page, http://webalta.ru/search, Хорошо: (http://www.google.com/), Плохо: (http://webalta.ru/search),,[8db86a2c91f92c0a63a6d6497f87a858]
    Hijack.SearchPage, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCH|SearchAssistant, http://webalta.ru/search, Хорошо: (http://www.Google.com/), Плохо: (http://webalta.ru/search),,[b98c405627632610dae161bc9d69926e]
    
    Папки: 8
    PUP.Optional.FunMoods.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Funmoods\UpdateProc, , [b68fdbbbe0aaa29469f530facc38c13f], 
    PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro, , [370ea9eda3e794a2764f7e2948bbc040], 
    PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro\Version 6.1, , [370ea9eda3e794a2764f7e2948bbc040], 
    PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DigitalSites\UpdateProc, , [6dd8dcba3852bf7709cb566745be837d], 
    PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DSite\UpdateProc, , [172e088ec6c4f24418be6b5251b21fe1], 
    PUP.Optional.VOPackage.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\VOPackage, , [24217422cebc51e59f53f1de56ad2ed2], 
    PUP.Optional.VOPackage.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage, , [fc49e2b4e0aacf676c8718b760a38e72], 
    PUP.Optional.ToolBar.WA, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Webalta Toolbar, , [e263ebab51394cea222f6a66e122639d], 
    
    Файлы: 42
    Trojan.Agent, C:\Users\????N????? ????N??µN?????\Thumbsdb.bat, , [63e270267f0bbb7ba8def9fb847fe719], 
    PUP.Optional.FunMoods.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Funmoods\UpdateProc\config.dat, , [b68fdbbbe0aaa29469f530facc38c13f], 
    PUP.Optional.FunMoods.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Funmoods\UpdateProc\gup_dt.dat, , [b68fdbbbe0aaa29469f530facc38c13f], 
    PUP.Optional.FunMoods.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Funmoods\UpdateProc\info.dat, , [b68fdbbbe0aaa29469f530facc38c13f], 
    PUP.Optional.FunMoods.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Funmoods\UpdateProc\MESSAGE.txt, , [b68fdbbbe0aaa29469f530facc38c13f], 
    PUP.Optional.FunMoods.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Funmoods\UpdateProc\STTL.DAT, , [b68fdbbbe0aaa29469f530facc38c13f], 
    PUP.Optional.FunMoods.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Funmoods\UpdateProc\TTL.DAT, , [b68fdbbbe0aaa29469f530facc38c13f], 
    PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro\MESSAGE.txt, , [370ea9eda3e794a2764f7e2948bbc040], 
    PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\ExcludeList.rcp, , [370ea9eda3e794a2764f7e2948bbc040], 
    PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\log_05-30-2014.log, , [370ea9eda3e794a2764f7e2948bbc040], 
    PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\MESSAGE.txt, , [370ea9eda3e794a2764f7e2948bbc040], 
    PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\results.rcp, , [370ea9eda3e794a2764f7e2948bbc040], 
    PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\russian_rcp_ru.dat, , [370ea9eda3e794a2764f7e2948bbc040], 
    PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\TempHLList.rcp, , [370ea9eda3e794a2764f7e2948bbc040], 
    PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DigitalSites\UpdateProc\config.dat, , [6dd8dcba3852bf7709cb566745be837d], 
    PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DigitalSites\UpdateProc\info.dat, , [6dd8dcba3852bf7709cb566745be837d], 
    PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DigitalSites\UpdateProc\MESSAGE.txt, , [6dd8dcba3852bf7709cb566745be837d], 
    PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DigitalSites\UpdateProc\STTL.DAT, , [6dd8dcba3852bf7709cb566745be837d], 
    PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DigitalSites\UpdateProc\TTL.DAT, , [6dd8dcba3852bf7709cb566745be837d], 
    PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DSite\UpdateProc\info.dat, , [172e088ec6c4f24418be6b5251b21fe1], 
    PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DSite\UpdateProc\MESSAGE.txt, , [172e088ec6c4f24418be6b5251b21fe1], 
    PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DSite\UpdateProc\prod.dat, , [172e088ec6c4f24418be6b5251b21fe1], 
    PUP.Optional.VOPackage.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\VOPackage\MESSAGE.txt, , [24217422cebc51e59f53f1de56ad2ed2], 
    PUP.Optional.VOPackage.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage\Configure.lnk, , [fc49e2b4e0aacf676c8718b760a38e72], 
    PUP.Optional.VOPackage.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage\MESSAGE.txt, , [fc49e2b4e0aacf676c8718b760a38e72], 
    PUP.Optional.ToolBar.WA, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Webalta Toolbar\MESSAGE.txt, , [e263ebab51394cea222f6a66e122639d],
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    952

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Антон Нечипоренко, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 18.03.2015, 12:19
    2. Ответов: 4
      Последнее сообщение: 09.02.2015, 23:56
    3. Зашифрованы файлы Doc, docx, xls, xlsx
      От Алексей Сорокин в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 19.02.2014, 21:27
    4. Зашифрованы файлы формата docx, jpeg,xlsx. Разрешение не изменено.
      От Анна Бережецкая в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 23.11.2013, 01:35
    5. Ответов: 5
      Последнее сообщение: 17.04.2012, 21:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01177 seconds with 18 queries