Зашифрованы файлы в: better_call_saul и los_pollos

[rgr777]

Добрый день! Прошу помощи в расшифровке личных файлов, которые сейчас зашифрованы в типы better_call_saul и los_pollos. Также куча файлов readme, один из которых прикрепил.

Проверку Cure IT выполнил, список вирусов, находящихся на карантине см. на скриншоте: skrin virus.

Также был поддельный файл в автозагрузке csrss.exe, удалил вручную с папки programdata. Если что в карантине касперского есть какая-то копия этого файла, сделанная защитником виндовс.

 

AutoLogger'ом просканировал, логи прикрепил.

Заметил также, что файлы были зашифрованы примерно в 06.04.2016 21:50-22:00  (указано время по владивостоку, по МСК: 14:50-15:00)

 

На данный момент новые файлы не шифруются на ноутбуке, проверки на вирусы не обнаруживают ничего.

Реестр после поражения, различными чистильщиками не трогал.

 

Ожидаю вашего ответа!

Спасибо!

README2.txt

CollectionLog-2016.04.09-15.07.zip

Изменено 9 апреля, 2016 пользователем rgr777

[mike 1]

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

[rgr777]

Добрый день!

Направляю отчет AdwCleaner.

 

AdwCleanerS1.txt

[mike 1]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[rgr777]

Спасибо за ваши ответы, прикрепил отчет после полной очистки. 

(На всякий случай прикрепил отчет после второго сканирования)

AdwCleanerC1.txt

AdwCleanerS2.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[rgr777]

Всё выполнено, отчеты направляю. 

Один момент, ничего страшного, что с сохранил в папке "загрузки" ?

Addition.txt

FRST.txt

Shortcut.txt

Изменено 10 апреля, 2016 пользователем rgr777

[mike 1]

Ничего.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CloseProcesses:
HKU\S-1-5-21-2579438741-3640963049-2335220249-1002\...\Run: [Client Server Runtime Subsystem] => "C:\ProgramData\Windows\csrss.exe"
2016-04-07 11:46 - 2016-04-09 11:03 - 00000000 ____D C:\Users\Елешка\AppData\Local\Ecdtion
2016-04-07 11:46 - 2016-04-07 12:12 - 00000000 ____D C:\Users\Елешка\AppData\Local\AVworks
2016-04-07 11:45 - 2016-04-07 11:45 - 03148854 _____ C:\Users\Елешка\AppData\Roaming\A140AD61A140AD61.bmp
2016-04-06 07:09 - 2016-04-06 07:09 - 00057344 _____ C:\Users\Елешка\AppData\Roaming\mesophyte.dll
2016-04-05 20:42 - 2016-04-07 18:28 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-04-05 20:42 - 2016-04-07 18:28 - 00000000 __SHD C:\ProgramData\Windows
zip:C:\FRST\Quarantine

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

[rgr777]

Fixlog прикрепил.

Архив upload.zip залил:

 

Результат загрузки

Файл сохранён как 160410_162645_Upload_570a5495985b7.zip

Размер файла 270965

MD5 cc1f7c4d115a704bb19aaca1bb9c4613

Файл закачан, спасибо!

Fixlog.txt

Изменено 10 апреля, 2016 пользователем rgr777

[mike 1]

Ответил в ЛС.