Решена вирус зашифровал документы, фотографии

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Олег Григорьев, 19 янв 2015.

Метки:
Статус темы:
Закрыта.
  1. Олег Григорьев
    Оффлайн

    Олег Григорьев Новый пользователь

    Сообщения:
    4
    Симпатии:
    0
    Здравствуйте!
    Прошу помощи в решении проблемы:
    На нашу эл. почту пришло письмо с запакованным архивом, сотрудница открыла этот архив, увидела непонятную информацию и сразу удалила это письмо. После этого файлы компьютера (офисные документы, фотографии) были изменены (изменилось расширение файлов) и открыть их мы не можем. Во вложении несколько таких зашифрованных файлов и 1 его незашифрованная копия. Мозилла вообще куда-то пропала, комп жутко тормозит.
     

    Вложения:

    • Desktop.rar
      Размер файла:
      1,6 МБ
      Просмотров:
      3
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    К дополнение к файлам нужны еще и логи. Шифратор может быть активен.

    http://safezone.cc/pravila/
     
  3. Олег Григорьев
    Оффлайн

    Олег Григорьев Новый пользователь

    Сообщения:
    4
    Симпатии:
    0
    Прилагаю логи
     

    Вложения:

  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Попросил коллегу посмотреть файлы.
    скорее всего таки посмотрела содержимое файла иначе бы заражения не было.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      end;
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RebootWindows(false);
    end.
    После выполнения скрипта компьютер перезагрузится.



    Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните в формате txt и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2014-04-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
    Подробнее читайте в руководстве
    --- Объединённое сообщение, 19 янв 2015, Дата первоначального сообщения: 19 янв 2015 ---
    Пообщался с коллегам. Шансы восстановить информацию стремятся к нулю. Есть шанс, что вирлаб др.веб смогут помочь, но они требуют активную лицензию на антивирус.
     
    machito нравится это.
  5. Олег Григорьев
    Оффлайн

    Олег Григорьев Новый пользователь

    Сообщения:
    4
    Симпатии:
    0
    Это конечно плохо. Делаю все, как Вы написали. Такой вопрос - существует ли вероятность, что новые файлы (созданные скажем завтра) опять зашифруются?
    --- Объединённое сообщение, 19 янв 2015, Дата первоначального сообщения: 19 янв 2015 ---
    Прикрепляю
     

    Вложения:

  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    То, что нашел MBAM можно удалить.
    Если опять поймать шифровальщика, то да. Сейчас мы провели экспресс-проверку системы, активного заражения не видно.
     
  7. Олег Григорьев
    Оффлайн

    Олег Григорьев Новый пользователь

    Сообщения:
    4
    Симпатии:
    0
    СПАСИБО ОГРОМНОЕ ЗА ПОМОЩЬ!
     
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    machito нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей