Neitrino повреждены файлы

[Нотариус]

Добрый день. По электронной почте было получены 2 письма с подозрительными вложениями. На следующий день обнаружили шифрование файлов с расширением .neitrino. Помогите, пожалуйста, справиться с проблемой. 

Addition.txt

FRST.txt

CollectionLog-2016.06.07-16.12.zip

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

•  
  

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CloseProcesses:

HKLM-x32\...\Run: [Kinoroom Browser] => "C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe" -autorun

HKLM\...\Policies\Explorer\Run: [AppDownloads] => C:\Program Files (x86)\Common Files\D33F5AB9-93E4-4853-918A-B257ACAB9410\BAC242BD-EA99-4C1F-A521-0AEF67CA10F7.exe

CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9&q={searchTerms}

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9&q={searchTerms}

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9&q={searchTerms}

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9&q={searchTerms}

HKU\S-1-5-21-284963711-3495955792-3423792795-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9

SearchScopes: HKU\S-1-5-21-284963711-3495955792-3423792795-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9&q={searchTerms}

StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://istart.webssearches.com/?type=sc&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9

OPR Extension: (Smart Browser™) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\aeajehgeohhgjbhhbicilpenjfcbfnpg [2016-06-06]

OPR Extension: (Smart Browser™) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhmpnibiagopmobamhlgaghkojlcjnfn [2016-06-06]

R1 {5eeb83d0-96ea-4249-942c-beead6847053}Gw64; C:\Windows\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys [61080 2014-09-08] (StdLib)

2016-06-06 20:34 - 2014-09-19 09:38 - 00000000 ____D C:\Users\User\AppData\Local\globalUpdate

Task: {15520436-E285-48D5-9070-2FFBBE8E6671} - \Microsoft\Windows\extsetuponce -> No File <==== ATTENTION

Task: {70A9609C-F032-4C85-9B39-482E24AF8A8E} - \Microsoft\Windows\342AC705-00C4-42DC-AAF2-C00D80587FE2 -> No File <==== ATTENTION

Task: {7910ACF4-8804-4233-B5B2-9ACD33D80217} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION

Task: {81A97BDA-50B9-4682-94B8-2BCA042732E5} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe <==== ATTENTION

Task: {9BA6272B-7C1A-4CAF-9C39-505F0EF4AD77} - \Microsoft\extsetup -> No File <==== ATTENTION

Task: {9BC056CE-4DD7-40E6-B772-22A220F79FBA} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION

Task: {A1AA358D-4EAE-41A9-B3E4-F69C4F8F6930} - \Microsoft\extsetuponce -> No File <==== ATTENTION

Task: {AD01CCA6-42E5-4D16-ABB4-08D17B3BA059} - \Microsoft\Windows\A342AC705-00C4-42DC-AAF2-C00D80587FE2 -> No File <==== ATTENTION

Task: {EC7E1B24-F9BD-42CE-AB02-F6F3A163CD1F} - \KRB Updater Utility -> No File <==== ATTENTION

Task: {EE5796B1-8A8F-4155-B92E-C32121F9508F} - System32\Tasks\nethost task => C:\Users\User\AppData\Local\SystemDir\nethost.exe <==== ATTENTION

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
  

 

 

[Нотариус]

Вложенные файлы

Fixlog.txt

[mike 1]

Восстанавливайте, что сможете  http://virusinfo.info/showthread.php?t=156188&p=1252582&viewfull=1#post1252582