Повреждение файлов. Расширение .pumax

[Andreyzh 0]

Добрый вечер! Подхватил вирус (Касперский как назло выключен был).

Как заметил не ладное, перезагрузил ПК, Касперский обнаружил несколько вирусов, удалил их.
Но позже заметил, что половина фалов на диске зашифрована как .pumax

Dr web cureit проверял, но это расширение не удаляется.
Логи прикрепляю.

CollectionLog-2018.12.08-19.58.zip

Изменено 8 декабря, 2018 пользователем Andreyzh

[regist 617]

1) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

• Запустите AVZ.
• Выполните обновление баз (Меню Файл - Обновление баз)
• Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
• В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
• Закачайте полученный архив, как описано на этой странице.
• Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

2)

EasyTop [ FREE ] [20150807]-->C:\Program Files (x86)\EasyTop\Uninstall.exe
InstaTool Free, версия 1.4.0 [20160501]-->"C:\Program Files (x86)\InstaTool Free\unins000.exe"
YLH.bot 1.35 [20150317]-->"C:\Program Files (x86)\YLH.bot\unins000.exe"

ваше? Сами ставили бота для накрутки?

McAfee Security Scan Plus [2015/05/19 16:27:18]-->"C:\Program Files\McAfee Security Scan\uninstall.exe"
MediaGet [20181108]-->C:\Users\123\AppData\Local\MediaGet2\mediaget-uninstaller.exe
Hola™ 1.114.353 - Better Internet [2018/12/02 09:17:48]-->C:\Program Files\Hola\app\hola_setup.exe --remove-hola --no-rmt-conf --hola-cr 

 

деинсталируйте.

Java 8 Update 121 [20170306]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F32180121F0}
Java 8 Update 152 (64-bit) [20180107]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F64180152F0}

Java старая стоит, деинсталируйте её. Если нужна, то после удаления поставьте свежую.

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
• Прикрепите отчет к своему следующему сообщению.

[Andreyzh 0]

Доброе утро! Спасибо за быстрый ответ!)
1) LOG сделал, закачал: MD5:27E78CAE66972479C445E430E582C92D
2) Да, ботов сам установил, давно это было в 2015, вроде чистые они.

Остальное удалил.

Отчет прикрепляю:
 

 

AdwCleanerS00.txt

[regist 617]

 

 

Остальное удалил.

Hola похоже не удалили. Удалите её, затем.

 

• Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
• В меню Настройки отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[Andreyzh 0]

Сделал.
Также заметил, что на флешке файлы тоже зашифровались.

AdwCleanerC01.txt

[regist 617]

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.
  

 

поищите пару зашифрованный и оригинальный файл.

[Andreyzh 0]

Нашел dwg файл, это чертеж в автокаде
Если не подходит, могу ещё поискать что-нибудь.

Files.rar

[regist 617]

@Andreyzh, проверьте ЛС.

[Andreyzh 0]

Благодарю, все успешно восстановилось.

Извиняюсь, за вопрос не в тему...подскажите, пожалуйста, возможно ли более корректно его восстановить или исправить?
Я удалил Google Chrome, вместе с ним случайно удалились данные расширения - Session Buddy.
У него был один файл с данными.

Файл я нашел, но он не читается расширением (возможно поврежден) 
Или подскажите, куда обратиться...

8.zip

[regist 617]

то что вы прикрепили это часть многотомного архива и не похоже, чтобы он был пошифрован.

+

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.