• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена вирус зашифровал документы, фотографии

Статус
В этой теме нельзя размещать новые ответы.

Олег Григорьев

Новый пользователь
Сообщения
4
Симпатии
0
#1
Здравствуйте!
Прошу помощи в решении проблемы:
На нашу эл. почту пришло письмо с запакованным архивом, сотрудница открыла этот архив, увидела непонятную информацию и сразу удалила это письмо. После этого файлы компьютера (офисные документы, фотографии) были изменены (изменилось расширение файлов) и открыть их мы не можем. Во вложении несколько таких зашифрованных файлов и 1 его незашифрованная копия. Мозилла вообще куда-то пропала, комп жутко тормозит.
 

Вложения

akok

Команда форума
Администратор
Сообщения
13,741
Симпатии
11,574
#2
К дополнение к файлам нужны еще и логи. Шифратор может быть активен.

http://safezone.cc/pravila/
 

akok

Команда форума
Администратор
Сообщения
13,741
Симпатии
11,574
#4
Попросил коллегу посмотреть файлы.
увидела непонятную информацию и сразу удалила это письмо
скорее всего таки посмотрела содержимое файла иначе бы заражения не было.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.



Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните в формате txt и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2014-04-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве
Попросил коллегу посмотреть файлы.
Пообщался с коллегам. Шансы восстановить информацию стремятся к нулю. Есть шанс, что вирлаб др.веб смогут помочь, но они требуют активную лицензию на антивирус.
 

Олег Григорьев

Новый пользователь
Сообщения
4
Симпатии
0
#5
Это конечно плохо. Делаю все, как Вы написали. Такой вопрос - существует ли вероятность, что новые файлы (созданные скажем завтра) опять зашифруются?
Прикрепляю
 

Вложения

akok

Команда форума
Администратор
Сообщения
13,741
Симпатии
11,574
#6
То, что нашел MBAM можно удалить.
Если опять поймать шифровальщика, то да. Сейчас мы провели экспресс-проверку системы, активного заражения не видно.
 
Статус
В этой теме нельзя размещать новые ответы.