ДаВинчи:(

[GreatALF]

Добрый день, поймал вирус

 

Baши файлы былu зaшuфровaны.

Чmoбы расшифpoвamь их, Bам нeoбxодuмo omправить кoд:

F09EAC7AEDDA1A1C9646|0

на электронный адpеc VladimirScherbinin1991@gmail.com .

Далeе вы полyчиme вcе необxoдимые uнcmpyкциu.

Поnытки рaсшuфрoвать сaмосmoятeльно нe прuведуm ни к чeмy, kpоме бeзвозвpатнoй поmepи uнформации.

Еcли вы вcё же хоmитe попыmamьcя, mo предвapumельнo сделaйтe pезеpвныe kопuи файлoв, инaчe в cлyчаe

ux uзменeнuя раcшифpовка сmaнem невoзмoжнoй нu пpи кaких ycлoвияx.

Еcли вы нe noлyчuли ответa nо вышeуkaзанномy aдpecу в mечение 48 часов (и moльkо в эmом случae!),

воcnoльзуйmecь формой oбpamной связи. Эmo мoжнo сделamь двумя cnoсобaмu:

1) Скачaйте u ycmaновumе Tor Browser по сcылкe: https://www.torproject.org/download/download-easy.html.en

B адpесной cmpokе Tor Browser-а введиme aдpеc:

http://cryptsen7fo43rr6.onion/

u нaжмume Enter. 3arрyзuтcя cтрaницa с фopмой oбратнoй cвязu.

2) B любом бpаyзеpe nepейдитe nо однoму uз адpeсов:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

 

 

FRST.txt

Addition.txt

[Sandor]

Здравствуйте!

 

Выполните Порядок оформления запроса о помощи

[GreatALF]

Здравствуйте!

 

Выполните Порядок оформления запроса о помощ

 

 

Сделано

CollectionLog-2016.09.22-12.02.zip

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

CoupScaNnEr

ddeal4real

DealsFiinadeurPrro

GamesDesktop 033.124

GetTheDiscount

i1Profiler

Incredibar Toolbar on IE and Chrome

saveernet

saVIunshop

SavverAeddonn

SoftCiouep

Time tasks

tpereFEcTTCooupon

WouwCiouPoon

Тут недорого version 2.8

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\11002.exe', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\Users\Vika\AppData\Local\Yandex\browser.bat', '');
 DeleteFile('C:\11002.exe', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\Users\Vika\AppData\Local\Yandex\browser.bat', '32');
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteDirectory('c:\program files (x86)\zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[GreatALF]

 

KLAN-5055571905

ClearLNK-22.09.2016_12-55.log

CollectionLog-2016.09.22-12.59.zip

[Sandor]

ClearLNK-22.09.2016_12-55.log

Лечение запущено: 3 раза за сегодня.

Хорошо бы увидеть первый лог.

• Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[GreatALF]

Да вот первого не осталось 

там было написано что 6  ярлыков удалено 1 несуществовал

AdwCleanerS0.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно Сбросить:
  • Прокси
  • Политики IE
  • Политики Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Сделайте свежие логи:

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[GreatALF]

готово

AdwCleanerC0.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

GamesDesktop 033.124

По-прежнему в списке установленных. Не удаляется?

 

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
GroupPolicyUsers\S-1-5-21-538041639-327091397-2625274151-1000\User: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-538041639-327091397-2625274151-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR Extension: (No Name) - C:\Users\Vika\AppData\Local\Google\Chrome\User Data\Default\Extensions\jaocgokledfmfebefgbeokdodbbdjhdd [2016-09-22]
Toolbar: HKU\S-1-5-21-538041639-327091397-2625274151-1001 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-538041639-327091397-2625274151-1001 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-538041639-327091397-2625274151-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2016-09-20 11:19 - 2016-09-22 11:48 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-09-20 11:19 - 2016-09-22 11:48 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\Vika\AppData\Local\Temp\mediaget-uninstaller.exe
FirewallRules: [UDP Query User{EA9C09C0-DC41-4E10-8F63-0D8D88FF1EB9}C:\users\vika\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\vika\appdata\local\mediaget2\mediaget.exe
FirewallRules: [TCP Query User{1AACDCED-2DBD-4951-8B96-D352AECE2D97}C:\users\vika\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\vika\appdata\local\mediaget2\mediaget.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[GreatALF]

Не-а не хотит удалять

Fixlog.txt

[Sandor]

Удалите форсировано через Revo Uninstall

[GreatALF]

Удалил

[Sandor]

Адварь и следы вымогателя очищены. С расшифровкой, увы, помочь не сможем.

[GreatALF]

Жаль , но тем не менее спасибо за попытку