Шифровальщик .INFOWAIT

[reindeer 0]

Почти все файлы получили расширение .INFOWAIT 

CollectionLog-2018.11.18-14.26.zip

[mike 1 1 093]

Не хотите рассказать как получили шифровальщика?

 

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[reindeer 0]

 

Не хотите рассказать как получили шифровальщика?

 

 

Да как обычно, по-глупости скачал программу для перекодирования видео с непроверенного источника.

Я ,в общем, попытался почистить вручную командой for /f "delims=" %a in ('dir/b/s/a-d \*.INFOWAIT') do ren "%a" "%~na"

Реестр тоже почистил вручную. Прогнал еще через CCleaner. Вроде следов не осталось. Работает все, кроме нескольких видеофайлов (в свойствах нет параметров видео и аудио и ни один плеер не открывает). Ну и файлы !readme, где вымогали деньги (290$) тоже удалил вручную.

FRST.txt

Addition.txt

[mike 1 1 093]

Т.е. с помощью пакетного файла Вы меняли расширения у файлов самостоятельно? 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
BootExecute: autocheck autochk * autopart.exe
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HomePage: Default -> hxxp://www.trovi.com/?gd=&ctid=CT3314759&octid=EB_ORIGINAL_CTID&ISID=MEFC3BAB2-8D85-4CD3-BB2E-1F208ACD2687&SearchSource=55&CUI=&UM=5&UP=SP7F56067C-9367-41A6-9E2A-F1224DDEE13A&SSPV=TBannersC_sp_ch
CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hp&ts=1426688884&from=pcs&uid=ST1000DM003-9YN162_Z1D1BX2JXXXXZ1D1BX2J","hxxp://www.google.com/","hxxp://www.delta-homes.com/?type=hp&ts=1432869727&z=b40bd7df0d66ca1dbdc5418g9z3c8o8b7q1t1mdo9t&from=wpm05293&uid=ST1000DM003-9YN162_Z1D1BX2JXXXXZ1D1BX2J","hxxp://mail.ru/cnt/10445?gp=profitraf3","hxxp://www.oursurfing.com/?type=hp&ts=1446802243&z=e1b055aa33c55385aef3929gaz6z1q3b9e0o7o3zcc&from=amt&uid=st1000dm003-9yn162_z1d1bx2jxxxxz1d1bx2j","hxxp://www.mystartsearch.com/?type=hp&ts=1446804344&z=e253bc11cba25f5094e6176gdzaz6q0bae6z8e5q2m&from=cmi&uid=ST1000DM003-9YN162_Z1D1BX2JXXXXZ1D1BX2J","hxxp://www.istartsurf.com/?type=hp&ts=1446899441&z=bb02ece291f164580585c4dgdzdz1qcb7t6t7g7q9o&from=face&uid=ST1000DM003-9YN162_Z1D1BX2JXXXXZ1D1BX2J","hxxp://mail.ru/cnt/10445?gp=820473","hxxp://www.istartpageing.com/?type=hp&ts=1455545362&z=11cca50356b3f6455a52d61gbz2w7wdw4z5w0c5q3m&from=cmi&uid=ST1000DM003-9YN162_Z1D1BX2JXXXXZ1D1BX2J","hxxp://mail.ru/cnt/10445?gp=82
2018-11-18 16:29 - 2018-11-18 19:31 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge
2018-11-18 16:28 - 2018-11-18 16:34 - 000000000 ____D C:\Program Files (x86)\RelevantKnowledge
2018-11-18 16:28 - 2017-05-25 08:00 - 001182624 _____ (TMRG, Inc.) C:\Windows\system32\rlls64.dll
2018-11-18 16:28 - 2017-05-25 08:00 - 000784800 _____ (TMRG, Inc.) C:\Windows\SysWOW64\rlls.dll
2018-11-18 11:57 - 2018-11-18 12:10 - 000000000 ____D C:\Users\233note\AppData\Local\79ae5fda-8dd0-405e-8643-6d6b7a2907e4
2018-11-18 11:57 - 2018-11-18 12:04 - 000000000 ____D C:\Users\233note\AppData\Local\b37e543d-99e2-46a7-aa87-3104b6cd6dee
2018-11-18 11:56 - 2018-11-18 19:26 - 000000000 ____D C:\Users\Все пользователи\72101d1e-3ee9-4f7a-8b3d-44459f18b40b
2018-11-18 11:56 - 2018-11-18 19:26 - 000000000 ____D C:\ProgramData\72101d1e-3ee9-4f7a-8b3d-44459f18b40b
2018-11-18 11:49 - 2018-11-18 11:49 - 000000258 __RSH C:\Users\233note\ntuser.pol
2018-01-18 22:19 - 2017-12-18 18:59 - 000000034 _____ () C:\Users\233note\AppData\Roaming\0fg9t.tmp
2018-01-18 22:19 - 2018-01-15 20:37 - 001250976 _____ () C:\Users\233note\AppData\Roaming\sysa.sys
2018-11-18 11:46 - 2018-11-18 11:46 - 000140800 _____ () C:\Users\233note\AppData\Local\installer.dat

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

 

[reindeer 0]

 

Т.е. с помощью пакетного файла Вы меняли расширения у файлов самостоятельно? 

 

 

Именно. 

 

 Архива Дата_время.zip  не было.

Fixlog.txt

[mike 1 1 093]

Очень грустно когда человек делает все чтобы ему нельзя было помочь. 

 

 

C:\Users\233note\Documents\desktop.ini.INFOWAIT

В архиве прикрепите к сообщению.

[reindeer 0]

Файл-невидимка какой-то. 

Смог увидеть его через Total Commander

desktop.ini.zip

Изменено 19 ноября, 2018 пользователем reindeer

[mike 1 1 093]

Stop ransomware. Возможно в техподдержке смогут помочь. Лицензия на антивирус есть?