Шифровальщик *.cbf.

**kos_43** · 03.08.2015, 17:57

Добрый вечер!
Точнее уже не добрый! Словили шифровальщика, аналогичному в теме Словили шифровальщика. Все документы с расширением *.cbf

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 03.08.2015, 17:58

Уважаемый(ая) kos_43, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 03.08.2015, 18:22

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**kos_43** · 03.08.2015, 18:28

Отчет FRST

**thyrex** · 03.08.2015, 18:39

Не вижу ни одного признака шифрованного файла в логах

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
Task: {4E3EAE93-F902-420F-88A4-DED6E7487B97} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe <==== ATTENTION
C:\Program Files (x86)\MyPC Backup
HKLM-x32\...\Run: [] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://www.mystartsearch.com/?type=hp&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://www.mystartsearch.com/?type=hp&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
HKU\S-1-5-21-2635311791-2667800279-86612714-1283\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
HKU\S-1-5-21-2635311791-2667800279-86612714-1283\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX
HKU\S-1-5-21-2635311791-2667800279-86612714-1283\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2635311791-2667800279-86612714-1283 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
Reboot:

Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**kos_43** · 03.08.2015, 18:49

Сообщение от thyrex

Не вижу ни одного признака шифрованного файла в логах

Может всё потому, что они лежат не на диске С ?

Лог FIX

**thyrex** · 03.08.2015, 19:01

На диске С тоже должны быть характерные признаки в виде идентификационного файла в папке Program Files (x86)

**kos_43** · 03.08.2015, 19:06

Была папка "1С" с файлами, которая и появилась после запуска "шифровальщика". Антивирусник ее грохнул. Может и я что-нибудь левое удалил оттуда.
Сейчас как быть и что делать?

**thyrex** · 03.08.2015, 19:09

А сам файл, пришедший по почте, сохранился?

**kos_43** · 03.08.2015, 19:11

Есть ссылка на него! Прям в открытом виде эту ссылку сюда кинуть?

**thyrex** · 03.08.2015, 19:27

Ссылку мне в личные сообщения

**kos_43** · 03.08.2015, 19:32

Отправлено

**thyrex** · 03.08.2015, 19:49

Получил.

С расшифровкой не поможем

**kos_43** · 03.08.2015, 20:00

Что ж... и на этом спасибо!

Шифровальщик *.cbf. (заявка № 188010)

Опции темы

Шифровальщик *.cbf.

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Похожие темы

Шифровальщик

шифровальщик

шифровальщик

Шифровальщик

Шифровальщик

Ваши права в разделе