зашифрованные документы

[hook009 0]

Добрый день! После открытия ссылки на почте, все документы были зашифрованы вирусом-вымогателем. пока был в отъезде родители вызвали компьютерного мастера,он сказал , что удалил сам вирус. Но так и расшифровал файлы. жесткий диск лежал, начал разбираться сам,т.к. нужны документы. Не нашел файла readmr.txt, есть только скриншот рабочего стола. Его прилагаю.Надеюсь на помощь!Спасибо!

CollectionLog-2019.03.26-12.07.zip

скрин.rar

[thyrex 1 468]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('skinapp');
 DeleteService('ReimageRealTimeProtection');
 DeleteFile('C:\Windows\skinapp.sys','64');
 DeleteFile('C:\Program Files\Reimage\Reimage Repair\ReiGuard.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^KRB Updater Utility.lnk','x64');
 DeleteSchedulerTask('Microsoft\0C1542DF73A250E1C786E151FDB53342');
 DeleteSchedulerTask('Microsoft\0C1542DF73A250E1C786E151FDB53342SB');
 DeleteSchedulerTask('runTask');
 DeleteSchedulerTask('updateTask');
 DeleteFile('c:\task.vbs','64');
 DeleteFile('C:\Users\D899~1\AppData\Local\Temp\Updater.exe','64');
 DeleteFile('C:\Users\Сергей\AppData\Local\Microsoft\ECE8705CD9721FD9C5E3B28AE6457B5E\B53342DF151E687C1E052A37FD0C1542.exe','64');
 DeleteSchedulerTask('{233309D0-BB93-4B7D-9AC4-4E45B1E35710}');
 DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\{233309D0-BB93-4B7D-9AC4-4E45B1E35710}.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[hook009 0]

Архив прикрепил

CollectionLog-2019.03.27-09.31.zip

[thyrex 1 468]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[hook009 0]

Прикрепил

Archive.rar

[thyrex 1 468]

Увы, с расшифровкой помочь не сможем. Будет только зачистка мусора.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-2744588668-3277248476-1547533861-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path/update_url>
S3 HnGService; D:\GamesMailRu\Heroes & Generals GC\hngservice.exe [X]
S3 NBService; C:\Program Files (x86)\Nero\Nero 7\Nero BackItUp\NBService.exe [X]
S3 cpuz134; \??\C:\Users\D899~1\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] <==== ATTENTION
2018-08-27 15:53 - 2018-08-27 15:53 - 006220854 _____ () C:\Users\Сергей\AppData\Roaming\DB27AF8BDB27AF8B.bmp
ContextMenuHandlers1: [MRACMenu] -> {B495CAFE-D53F-408B-A081-0814BE80EB3E} =>  -> No File
Task: {2D595640-99F7-4970-852D-C018987F3DC7} - System32\Tasks\{CD213462-77FA-44D6-B89F-4BF33EE25A3B} => C:\Program Files (x86)\Common Files\AppDownloads\{CD213462-77FA-44D6-B89F-4BF33EE25A3B}.exe <==== ATTENTION
Task: {2265093E-7BB7-4A96-8B3C-AAF0BE8BE2C6} - System32\Tasks\Microsoft\Windows\0C1542DF73A250E1C786E151FDB53342 => C:\Users\Сергей\AppData\Local\Microsoft\ECE8705CD9721FD9C5E3B28AE6457B5E\B53342DF151E687C1E052A37FD0C1542.exe
Task: {444B70C0-4214-470F-8C79-BC952F44683C} - \Driverupdater -> No File <==== ATTENTION
Task: {67DB5EA0-4FE7-44C7-93D7-769C879CA979} - System32\Tasks\{E2BCEF5C-FA2C-4B62-A573-7FBCF9B6DB45} => C:\Program Files (x86)\Common Files\AppDownloads\{E2BCEF5C-FA2C-4B62-A573-7FBCF9B6DB45}.exe <==== ATTENTION
Task: {A647F7BD-C620-42AF-8E7A-560E954A1116} - System32\Tasks\{7A5123BE-3003-4E28-9CAA-EC786B4753B3} => C:\Program Files (x86)\Common Files\AppDownloads\{7A5123BE-3003-4E28-9CAA-EC786B4753B3}.exe <==== ATTENTION
Task: {AA5081D8-AB68-4502-8877-C5849449E54F} - System32\Tasks\Microsoft\Windows\0C1542DF73A250E1C786E151FDB53342SB => C:\Users\Сергей\AppData\Local\Microsoft\ECE8705CD9721FD9C5E3B28AE6457B5E\B53342DF151E687C1E052A37FD0C1542.exe
Task: {BFD3976C-1376-4CB3-812C-31FF3C5D47FF} - System32\Tasks\{AF755FBD-4F6F-424A-B03B-AC97E24C3D53} => C:\Program Files (x86)\Common Files\AppDownloads\{AF755FBD-4F6F-424A-B03B-AC97E24C3D53}.exe <==== ATTENTION
Task: {C74F034B-E69A-4E81-8ACE-45FBB0D4A5B5} - System32\Tasks\Microsoft\Windows\{E93FE3FC-6D62-4BEE-845D-E2BA12F595BB} => C:\Users\Сергей\AppData\Local\Microsoft\Macromed\Flash Player\{E93FE3FC-6D62-4BEE-845D-E2BA12F595BB}\UpdaterStartupUtility.exe <==== ATTENTION
Task: {D1AD3CB6-4916-458F-9291-E7C923CA4B09} - System32\Tasks\{2DE4DCE5-979D-4CD1-9D5F-8A1E73085022} => C:\Program Files (x86)\Common Files\AppDownloads\{2DE4DCE5-979D-4CD1-9D5F-8A1E73085022}.exe <==== ATTENTION
Task: {DF83B691-F288-4BE4-BD71-C3EFEC6FC9ED} - System32\Tasks\{DED2698D-B736-4EEA-A982-9472E4B7BACF} => C:\Program Files (x86)\Common Files\AppDownloads\{DED2698D-B736-4EEA-A982-9472E4B7BACF}.exe <==== ATTENTION
Task: {FFCFCF8F-C7B7-4599-91D8-417898A00EAE} - System32\Tasks\{C2BB3FB0-C44D-4EA0-BBD8-4998FFE4E7E1} => C:\Program Files (x86)\Common Files\AppDownloads\{C2BB3FB0-C44D-4EA0-BBD8-4998FFE4E7E1}.exe <==== ATTENTION
FirewallRules: [{CCE0A283-DC91-4EC3-8901-E6F47A1B0C53}] => (Allow) D:\games\Battlefield 4\bf4_x86.exe No File
FirewallRules: [{613E787A-450A-49BA-9748-172C4A8EB3A7}] => (Allow) D:\games\Battlefield 4\bf4_x86.exe No File
FirewallRules: [{AA4CB436-469C-4ABF-95F0-392650F67DEA}] => (Allow) D:\games\Battlefield 4\bf4.exe No File
FirewallRules: [{8603A908-121F-4C42-9226-C056BCBE30B8}] => (Allow) D:\games\Battlefield 4\bf4.exe No File
FirewallRules: [TCP Query User{3E9C43A0-DCC8-4233-BAC2-4F453AD5BFC4}D:\games\медаль\mp\mohmpgame.exe] => (Allow) D:\games\медаль\mp\mohmpgame.exe No File
FirewallRules: [UDP Query User{7402C74D-EEB9-42B6-A0D5-605D6731736F}D:\games\медаль\mp\mohmpgame.exe] => (Allow) D:\games\медаль\mp\mohmpgame.exe No File
FirewallRules: [TCP Query User{469B6D0D-2856-462A-A421-BB4B30CB4E43}D:\games\медаль\binaries\moh.exe] => (Block) D:\games\медаль\binaries\moh.exe No File
FirewallRules: [UDP Query User{BD5534B9-6BD3-4CF5-92C0-C8F6B64845DC}D:\games\медаль\binaries\moh.exe] => (Block) D:\games\медаль\binaries\moh.exe No File
FirewallRules: [TCP Query User{6D673AAA-C2F2-4E85-A2A4-14F1D27E361F}C:\users\сергей\appdata\local\temp\iperf.exe] => (Allow) C:\users\сергей\appdata\local\temp\iperf.exe No File
FirewallRules: [UDP Query User{5B77F280-52EB-4664-8F93-5074A5ABAF27}C:\users\сергей\appdata\local\temp\iperf.exe] => (Allow) C:\users\сергей\appdata\local\temp\iperf.exe No File
FirewallRules: [TCP Query User{3DD8AB1C-5A61-4D5F-97C0-185FFABB6274}D:\games\splinter cell - blacklist\src\system\blacklist_game.exe] => (Allow) D:\games\splinter cell - blacklist\src\system\blacklist_game.exe No File
FirewallRules: [UDP Query User{6BCF3B6E-7040-45C1-81F4-FDB4628801B1}D:\games\splinter cell - blacklist\src\system\blacklist_game.exe] => (Allow) D:\games\splinter cell - blacklist\src\system\blacklist_game.exe No File
FirewallRules: [TCP Query User{01D5DA32-1743-4A29-AA34-A3F19C8C49D5}D:\gamesmailru\armored warfare\bin64\armoredwarfare.exe] => (Allow) D:\gamesmailru\armored warfare\bin64\armoredwarfare.exe No File
FirewallRules: [UDP Query User{3F20DEEF-7603-4C2E-AE2F-95F96B1C6556}D:\gamesmailru\armored warfare\bin64\armoredwarfare.exe] => (Allow) D:\gamesmailru\armored warfare\bin64\armoredwarfare.exe No File
FirewallRules: [TCP Query User{887DB258-57A7-4029-9E5F-83D19E3DF3F7}C:\users\сергей\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\сергей\appdata\local\mediaget2\mediaget.exe No File
FirewallRules: [UDP Query User{2E50778F-9360-4D11-9BF5-60939C0C37D3}C:\users\сергей\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\сергей\appdata\local\mediaget2\mediaget.exe No File
FirewallRules: [TCP Query User{C41EF0A0-6E37-48D4-9DFA-866FCDC8F62B}C:\users\сергей\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\сергей\appdata\local\mediaget2\mediaget.exe No File
FirewallRules: [UDP Query User{60A6EC98-6549-43AF-B14D-85539F4E00BC}C:\users\сергей\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\сергей\appdata\local\mediaget2\mediaget.exe No File
FirewallRules: [{B26FBC5F-95A7-45AE-A628-AFE0C182716C}] => (Allow) D:\games\The SIMS 4\Game\Bin\TS4.exe No File
FirewallRules: [{875AA7C1-BED9-46DF-B13E-039ABBAF7E58}] => (Allow) D:\games\The SIMS 4\Game\Bin\TS4.exe No File
FirewallRules: [{537437AE-5654-4B8E-9500-D355B3F95457}] => (Allow) D:\games\The SIMS 4\Game\Bin\TS4_x64.exe No File
FirewallRules: [{B74D9863-24CF-43B7-A521-CECD6E68A115}] => (Allow) D:\games\The SIMS 4\Game\Bin\TS4_x64.exe No File
FirewallRules: [TCP Query User{1D1CDEDF-214C-402A-BE45-747C4301449B}D:\games\lethe - episode one\binaries\win32\udk.exe] => (Block) D:\games\lethe - episode one\binaries\win32\udk.exe No File
FirewallRules: [UDP Query User{3D3AD38A-B3C4-4DD5-A7F5-341178F780C1}D:\games\lethe - episode one\binaries\win32\udk.exe] => (Block) D:\games\lethe - episode one\binaries\win32\udk.exe No File
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.