Вирус-шифровальщик зашифровал все документы (doc) и фото (jpg)

[SkyFly]

Доброго дня. Просьба помочь побороть шифровальщик, который зашифровал все фотки и документы - в конце файлов прописано .cripttt. Произведена проверка утилитой KavRemovalTool, MBAM. Удалено несколько bat-файлов (лечение с перезагрузкой), однако файлы так и не открываются.

Вот файлы для примера:

https://drive.google.com/open?id=0B3htIBhCkjpqRzNoTWxZRld5Qnc

https://drive.google.com/open?id=0B3htIBhCkjpqU0NBVW8yZkR0Tnc

Заранее спасибо.

Изменено 11 апреля, 2016 пользователем SkyFly

[thyrex]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[SkyFly]

Прикрепил лог-файл AutoLogger-а:

CollectionLog-2016.04.11-13.31.zip

Изменено 11 апреля, 2016 пользователем SkyFly

[thyrex]

Логи прикрепляют в теме через Расширенную форму, а не засоряют хранилище.

 

Выполните скрипт в AVZ

begin
 DeleteFile('C:\Users\Anatoliy\AppData\Roaming\WindowsUpdater\Updater.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\WindowsUpdater','64');
ExecuteSysClean;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

[SkyFly]

thyrex, огромное спасибо Вам за оперативную помощь. Прикрепляю новые логи (до прочтения данного сообщения и выполнения Вашего скрипта в AVZ) - файл CollectionLog-2016.04.11-15.06.zip, а также новые логи (после прочтения Вашего сообщения и после успешного выполнения Вашего скрипта в AVZ) - файл CollectionLog-2016.04.11-15.37.zip

Изменено 11 апреля, 2016 пользователем SkyFly

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[SkyFly]

thyrex, выполнил всё, как Вы сказали. Вот прикрепил архив с файлами:

Reports_FRST64.zip

[thyrex]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2016-01-18 12:24 - 2016-01-18 12:24 - 00000000 ____D C:\Users\Anatoliy\AppData\Roaming\Mobogenie
2016-01-18 11:24 - 2016-04-10 18:22 - 00000000 ____D C:\Users\Anatoliy\AppData\Roaming\WindowsUpdater
2016-01-18 11:24 - 2016-04-10 18:22 - 00000000 ____D C:\Program Files (x86)\Mobogenie3
2016-01-18 11:24 - 2016-02-06 17:46 - 00000000 ____D C:\Users\Anatoliy\Documents\Mobogenie
2016-01-18 11:24 - 2016-01-18 11:24 - 00000000 ____D C:\Users\Public\Documents\GenieSoft
2016-01-18 11:20 - 2016-01-18 11:20 - 00000000 ____D C:\Users\Anatoliy\AppData\Roaming\MyDesktop
2016-01-18 11:20 - 2016-01-18 11:20 - 00000000 ____D C:\Users\Anatoliy\AppData\Roaming\MailProducts
2016-01-18 11:16 - 2016-04-10 18:24 - 00000000 ____D C:\Program Files (x86)\Sersoft
2016-01-19 12:02 - 2016-01-19 12:02 - 00000000 ____D C:\Users\Anatoliy\mobogenieP2sp
2016-02-05 11:33 - 2016-02-08 23:50 - 00000000 ____D C:\Users\Anatoliy\AppData\Roaming\Calculator
2016-03-03 12:32 - 2016-03-03 12:32 - 00000000 ____D C:\Users\Anatoliy\AppData\Roaming\Amigo
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
CHR DefaultSearchURL: Default -> hxxp://search.so-v.com/web?type=ds&x=fqvszbkjks-e656d277&uid=579872d1-edda-4a5b-844c-c30d14e6877b&q={searchTerms}
CHR DefaultSearchKeyword: Default -> so-v
BHO-x32: No Name -> {8E8F97CD-60B5-456F-A201-73065652D099} -> No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Task: {74760624-0F82-48D3-A143-618C6DD9CC74} - \WindowsUpdater -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[SkyFly]

thyrex, выполнил всё, как Вы сказали. Вот прикрепил архив с файлами-отчётами:

FixLog_ClearLNK.zip

Изменено 12 апреля, 2016 пользователем SkyFly

[thyrex]

Проверьте ЛС

[SkyFly]

Уважаемый thyrex. Огромное Вам человеческое спасибо за оперативную помощь! Всё прекрасно расшифровалось и всё открывается (за исключением нескольких PNG, GIF файлов)! Из всех 1903 фоток только одна (всего лишь одна!) не расшифровалась. А так всё удачненько! Спасибо Вам!