Решена вирус зашифровал документы, фотографии

[Олег Григорьев]

Здравствуйте!
Прошу помощи в решении проблемы:
На нашу эл. почту пришло письмо с запакованным архивом, сотрудница открыла этот архив, увидела непонятную информацию и сразу удалила это письмо. После этого файлы компьютера (офисные документы, фотографии) были изменены (изменилось расширение файлов) и открыть их мы не можем. Во вложении несколько таких зашифрованных файлов и 1 его незашифрованная копия. Мозилла вообще куда-то пропала, комп жутко тормозит.

 

[akok]

К дополнение к файлам нужны еще и логи. Шифратор может быть активен.

http://safezone.cc/pravila/

 

[Олег Григорьев]

Прилагаю логи

 

[akok]

Попросил коллегу посмотреть файлы.

увидела непонятную информацию и сразу удалила это письмо

скорее всего таки посмотрела содержимое файла иначе бы заражения не было.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.



Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните в формате txt и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2014-04-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве

Попросил коллегу посмотреть файлы.

Пообщался с коллегам. Шансы восстановить информацию стремятся к нулю. Есть шанс, что вирлаб др.веб смогут помочь, но они требуют активную лицензию на антивирус.

 

[Олег Григорьев]

Это конечно плохо. Делаю все, как Вы написали. Такой вопрос - существует ли вероятность, что новые файлы (созданные скажем завтра) опять зашифруются?
Прикрепляю

 

[akok]

То, что нашел MBAM можно удалить.

опять зашифруются?

Если опять поймать шифровальщика, то да. Сейчас мы провели экспресс-проверку системы, активного заражения не видно.

 

[Олег Григорьев]

СПАСИБО ОГРОМНОЕ ЗА ПОМОЩЬ!

 

[akok]

Подготовьте лог лог SecurityCheck by glax24 и исправьте все найденные утилитой проблемы.

Выполните: Рекомендации после лечения