Расширение .windows10

[_Predator]

После открытия письма, произошло заражение компьютера. Вирус зашифровал все файлы *doc, *xls, *rar и т.д. От вируса избавился, а вот от последствий пока безуспешно. Если есть возможность, помогите пожалуйста с дешифровщиком!

Addition.txt

AdwCleanerS2.txt

FRST.txt

hijackthis.log

virusinfo_autoquarantine.zip

virusinfo_syscheck.htm

virusinfo_syscheck.xml

virusinfo_syscheck.zip

virusinfo_syscure.htm

virusinfo_syscure.xml

virusinfo_syscure.zip

[thyrex]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[_Predator]

Думал те логи тоже пригодятся)

CollectionLog-2016.07.05-11.22.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Ekaterina\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','');
 QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\655A6976-73AD-40AB-BC9B-05022946D92F.exe','');
 QuarantineFile('C:\Users\Ekaterina\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\54FDB08F-5520-44FC-9673-98C28568D29C.exe','');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','');
 QuarantineFile('C:\Users\Ekaterina\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('C:\Users\Ekaterina\AppData\Roaming\WJUCZ.exe','');
 QuarantineFile('C:\Program Files (x86)\punto.bat','');
 DeleteService('2B6A2B381');
 DeleteService('bd0001');
 DeleteService('bd0002');
 DeleteService('BDMWrench_x64');
 DeleteService('BDSafeBrowser');
 DeleteService('QMUdisk');
 DeleteService('TS888x64');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\QMUdisk64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\TS888x64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\2B6A2B381.sys','32');
 DeleteFile('C:\Program Files (x86)\punto.bat','32');
 DeleteFile('C:\Users\Ekaterina\AppData\Roaming\WJUCZ.exe','32');
 DeleteFile('C:\Windows\Tasks\WJUCZ.job','32');
 DeleteFile('C:\Windows\system32\Tasks\754a8056-3fa6-471b-ab0c-83f6ebb77db9-1-6','64');
 DeleteFile('C:\Windows\system32\Tasks\754a8056-3fa6-471b-ab0c-83f6ebb77db9-6','64');
 DeleteFile('C:\Windows\system32\Tasks\754a8056-3fa6-471b-ab0c-83f6ebb77db9-7','64');
 DeleteFile('C:\Users\Ekaterina\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\extsetup','64');
 DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','64');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32');
 DeleteFile('C:\Users\Ekaterina\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\54FDB08F-5520-44FC-9673-98C28568D29C.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\12111700-F76E-4D04-A7C1-5AC299C09966','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\655A6976-73AD-40AB-BC9B-05022946D92F','64');
 DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\655A6976-73AD-40AB-BC9B-05022946D92F.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\A12111700-F76E-4D04-A7C1-5AC299C09966','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\A655A6976-73AD-40AB-BC9B-05022946D92F','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\KRBUUS\KRB Updater Utility Service','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\SafeBrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\WJUCZ','64');
 DeleteFile('C:\Users\Ekaterina\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

[_Predator]

В письме пришло.

 

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

вoйти в интeрнeт.exe - not-a-virus:Downloader.Win32.LMN.afw

New potentially risk software was found in this file. It's detection will be included in the next update. Thank you for your help.

krbupdater-utility.exe - Trojan.Win32.ExtenBro.bmm

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.com http://www.viruslist.com"

ClearLNK-05.07.2016_12-33.log

CollectionLog-2016.07.05-13.04.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[_Predator]

Логи

Farbar Recovery Scan Tool.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-3294240474-2717639177-893809422-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=91072394_hao_pg
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
HKU\S-1-5-21-3294240474-2717639177-893809422-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0b7130c2e58f7a0e2a76b9b51caa0536&text={searchTerms}
HKU\S-1-5-21-3294240474-2717639177-893809422-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://letani.ru/?utm_source=startpage03&utm_content=d0e80e93385627aee1261bdf778ed4c5&utm_term=86BB509677B130E6E6FF3F48CCB6815B
HKU\S-1-5-21-3294240474-2717639177-893809422-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0b7130c2e58f7a0e2a76b9b51caa0536&text={searchTerms}
HKU\S-1-5-21-3294240474-2717639177-893809422-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3294240474-2717639177-893809422-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0b7130c2e58f7a0e2a76b9b51caa0536&text={searchTerms}
SearchScopes: HKU\S-1-5-21-3294240474-2717639177-893809422-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0b7130c2e58f7a0e2a76b9b51caa0536&text=
SearchScopes: HKU\S-1-5-21-3294240474-2717639177-893809422-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
BHO-x32: No Name -> {68DE54BD-49C8-4982-BF5E-895C3124931A} -> No File
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0b7130c2e58f7a0e2a76b9b51caa0536&text= <==== ATTENTION
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541
CHR Extension: (Smart Browser) - C:\Users\Ekaterina\AppData\Local\Google\Chrome\User Data\Default\Extensions\iabeihobmhlgpkcgjiloemdbofjbdcic [2016-06-15]
OPR Extension: (No Name) - C:\Users\Ekaterina\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhnpmdabjgpimmnbmhefncbghknfegog [2016-02-08]
OPR Extension: (Smart Browser) - C:\Users\Ekaterina\AppData\Roaming\Opera Software\Opera Stable\Extensions\iabeihobmhlgpkcgjiloemdbofjbdcic [2016-06-15]
OPR Extension: (No Name) - C:\Users\Ekaterina\AppData\Roaming\Opera Software\Opera Stable\Extensions\iblenkmcolcdonmlfknbpbgjebabcoae [2016-06-10]
OPR Extension: (No Name) - C:\Users\Ekaterina\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-05-23]
OPR Extension: (No Name) - C:\Users\Ekaterina\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlipoenfbbikpbjkfpfillcgkoblgpmj [2016-04-21]
2016-07-01 18:33 - 2016-07-01 18:33 - 03148854 _____ C:\Users\Ekaterina\AppData\Roaming\04E2C51A04E2C51A.bmp
2016-07-01 18:33 - 2016-07-01 18:33 - 00002731 _____ C:\Users\Public\Desktop\README1.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README9.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README8.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README7.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README6.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README5.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README4.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README3.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README2.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README10.txt
2016-07-01 14:46 - 2016-07-01 19:49 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-07-01 14:46 - 2016-07-01 19:49 - 00000000 __SHD C:\ProgramData\Windows
2016-07-05 12:20 - 2015-06-04 10:39 - 00000000 ____D C:\Users\Все пользователи\KRB Updater Utility
2016-07-05 12:20 - 2015-06-04 10:39 - 00000000 ____D C:\ProgramData\KRB Updater Utility
2014-12-25 15:04 - 2014-12-25 15:04 - 0000113 ____H () C:\Program Files (x86)\diary.bat
2014-12-25 15:04 - 2014-04-24 18:17 - 0291128 ____H (ООО Яндекс) C:\Program Files (x86)\diаry.bаt.exe
2014-12-25 15:04 - 2014-12-25 15:04 - 0000115 ____H () C:\Program Files (x86)\layouts.bat
2014-12-25 15:04 - 2014-04-24 18:17 - 0034104 ____H (ООО Яндекс) C:\Program Files (x86)\lаyоuts.bаt.exe
2014-12-25 15:04 - 2014-12-25 15:04 - 0000110 ____H () C:\Program Files (x86)\ps.bat
2014-12-25 15:04 - 2014-04-24 18:17 - 1590584 ____H (ООО Яндекс) C:\Program Files (x86)\puntо.bаt.exe
2014-12-25 15:04 - 2014-12-25 15:04 - 0000116 ____H () C:\Program Files (x86)\WelcomeToPunto.bat
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
Task: {F49391CB-266B-48B8-A95F-313BEA5AE525} - \Microsoft\Windows\12111700-F76E-4D04-A7C1-5AC299C09966 -> No File <==== ATTENTION
Task: {C00F7209-A2C1-4F24-BEDA-0900183EEC50} - \extsetup -> No File <==== ATTENTION
Task: {95E40E24-F2DE-42E1-8FFB-84440F466639} - \SafeBrowser -> No File <==== ATTENTION
Task: {64553FE1-748B-48A2-BB0A-EE2A4D7B8E3A} - \754a8056-3fa6-471b-ab0c-83f6ebb77db9-7 -> No File <==== ATTENTION
Task: {6F71C3E9-4386-414A-BC5E-760BD61415CB} - \KRB Updater Utility -> No File <==== ATTENTION
Task: {5BCD193D-A7D3-4DFC-AD80-02D6886BDA5D} - \Microsoft\Windows\A655A6976-73AD-40AB-BC9B-05022946D92F -> No File <==== ATTENTION
Task: {04A8562F-01CC-415F-9DA7-61B422432B27} - \Microsoft\Windows\655A6976-73AD-40AB-BC9B-05022946D92F -> No File <==== ATTENTION
Task: {089CD9C9-14E2-4CFA-A8ED-C6EB6EC202BB} - \Microsoft\Windows\A12111700-F76E-4D04-A7C1-5AC299C09966 -> No File <==== ATTENTION
Task: {1AAB69EA-02E0-4FF5-AFF8-916F610C73B1} - \754a8056-3fa6-471b-ab0c-83f6ebb77db9-6 -> No File <==== ATTENTION
Task: {2F407D3C-8707-4BBC-A035-89CAD4DADABD} - \Microsoft\Windows\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {33EBEF2D-58A2-4BA6-932F-738D679B156A} - \754a8056-3fa6-471b-ab0c-83f6ebb77db9-1-6 -> No File <==== ATTENTION
Task: {3DCE282A-C2D2-49A7-9F5F-A2AEF06BA365} - \Microsoft\Windows\SafeBrowser -> No File <==== ATTENTION
Task: {44241574-1F45-4CA5-B083-C4097D87D448} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[_Predator]

Лог

Fixlog.txt

[thyrex]

Гору мусора вычистили.

С расшифровкой помочь не сможем

[_Predator]

Спасибо за помощь!!!

Еще один вопрос - вообще возможна расшифровка данных или нет? 

[thyrex]

Силами вирлабов на данный момент невозможна