Вирус

[Shevarev46]

email-vpupkin3@aol.com.ver-CL 1.3.1.0.id-@@@@@EECE-3334 .........................

Поймал такую чудо штуку шифровальщика. на зашифрованные файлы и прочее особо как то не смотрю, да и расшифровывать их мне не зачем, они есть у меня на 3х других серваках. Интересует вопрос как полностью УДАЛИТЬ эту заразу с компьютера??? Внятного объяснения так и не нашел. кто что знает? если не сложно дублируйте ответ на почту: 

Заранее всем благодарен.

Изменено 25 октября, 2016 пользователем mike 1
Почта удалена. Никогда не светите свою почту, а то попадете в спам базы!

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[Shevarev46]

email-vpupkin3@aol.com.ver-CL 1.3.1.0.id-@@@@@EECE-3334 .........................

Поймал такую чудо штуку шифровальщика. на зашифрованные файлы и прочее особо как то не смотрю, да и расшифровывать их мне не зачем, они есть у меня на 3х других серваках. Интересует вопрос как полностью УДАЛИТЬ эту заразу с компьютера??? Внятного объяснения так и не нашел. кто что знает? если не сложно дублируйте ответ на почту: 

Заранее всем благодарен.

CollectionLog-2016.10.25-14.47.zip

Изменено 25 октября, 2016 пользователем mike 1

[Sandor]

Если в перечне установленных программ есть

Служба автоматического обновления программ

удалите.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Shevarev46]

Вот отчеты

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Ran by Диспетчер (ATTENTION: The user is not administrator) on WIN-HK1F8Q68GON (25-10-2016 15:06:02)

Нужно от имени администратора. Переделайте, пожалуйста.

[Shevarev46]

От Администратора

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2016-10-25 07:59 - 2016-10-25 07:59 - 00000070 _____ C:\Users\Диспетчер\README.txt
2016-10-25 07:59 - 2016-10-25 07:59 - 00000070 _____ C:\Users\Диспетчер\Downloads\README.txt
2016-10-25 07:59 - 2016-10-25 07:59 - 00000070 _____ C:\Users\Диспетчер\Documents\README.txt
2016-10-25 07:59 - 2016-10-25 07:59 - 00000070 _____ C:\Users\Диспетчер\AppData\Roaming\README.txt
2016-10-25 07:59 - 2016-10-25 07:59 - 00000070 _____ C:\Users\Диспетчер\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2016-10-25 07:59 - 2016-10-25 07:59 - 00000070 _____ C:\Users\Диспетчер\AppData\README.txt
2016-10-25 07:57 - 2016-10-25 07:57 - 00000070 _____ C:\Users\Диспетчер\AppData\LocalLow\README.txt
2016-10-25 07:54 - 2016-10-25 07:54 - 00000070 _____ C:\Users\Диспетчер\AppData\Local\Temp\README.txt
2016-10-25 07:50 - 2016-10-25 07:50 - 00000070 _____ C:\Users\Администратор\README.txt
2016-10-25 07:50 - 2016-10-25 07:50 - 00000070 _____ C:\Users\Администратор\Downloads\README.txt
2016-10-25 07:50 - 2016-10-25 07:50 - 00000070 _____ C:\Users\Администратор\Documents\README.txt
2016-10-25 07:50 - 2016-10-25 07:50 - 00000070 _____ C:\Users\Администратор\Desktop\README.txt
2016-10-25 07:50 - 2016-10-25 07:50 - 00000070 _____ C:\Users\Администратор\AppData\Roaming\README.txt
2016-10-25 07:50 - 2016-10-25 07:50 - 00000070 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2016-10-25 07:50 - 2016-10-25 07:50 - 00000070 _____ C:\Users\Администратор\AppData\README.txt
2016-10-25 07:49 - 2016-10-25 07:49 - 00000070 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
2016-10-25 07:49 - 2016-10-25 07:49 - 00000070 _____ C:\Users\Администратор\AppData\Local\Temp\README.txt
2016-10-25 07:41 - 2016-10-25 07:41 - 00000070 _____ C:\Users\Public\README.txt
2016-10-25 07:41 - 2016-10-25 07:41 - 00000070 _____ C:\Users\Public\Downloads\README.txt
2016-10-25 07:40 - 2016-10-25 07:50 - 00000070 _____ C:\Users\Все пользователи\README.txt
2016-10-25 07:40 - 2016-10-25 07:50 - 00000070 _____ C:\Users\Public\Documents\README.txt
2016-10-25 07:40 - 2016-10-25 07:50 - 00000070 _____ C:\ProgramData\README.txt
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC] => (Allow) %systemroot%\system32\scshost.exe
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe
FirewallRules: [{3788CF72-21A2-496D-B64F-255CAA9143B7}] => (Allow) C:\Users\Диспетчер\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [{F585EB72-C7DF-437E-AD3A-2CDE490F7038}] => (Allow) C:\Users\Диспетчер\AppData\Local\MediaGet2\mediaget.exe
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Вручную перезагрузите компьютер.

Подробнее читайте в этом руководстве.

[Shevarev46]

Вот логи

Fixlog.txt

[Sandor]

Следы вымогателя очищены. Для проверки уязвимых мест:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Shevarev46]

есть такое

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18350 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Автоматическое обновление отключено (-1)

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен доменный профиль Брандмауэра Windows

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления

FileZilla Client 3.21.0 v.3.21.0 Внимание! Скачать обновления

TeamViewer 11 v.11.0.66695

LibreOffice 5.2.1.2 v.5.2.1.2 Внимание! Скачать обновления

TeamViewer 11 (TeamViewer) - Служба работает

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.28 v.7.28.101 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 22 NPAPI v.22.0.0.209 Внимание! Скачать обновления

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

[Shevarev46]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18350 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Автоматическое обновление отключено (-1)

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен доменный профиль Брандмауэра Windows

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления

FileZilla Client 3.21.0 v.3.21.0 Внимание! Скачать обновления

TeamViewer 11 v.11.0.66695

LibreOffice 5.2.1.2 v.5.2.1.2 Внимание! Скачать обновления

TeamViewer 11 (TeamViewer) - Служба работает

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.28 v.7.28.101 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 22 NPAPI v.22.0.0.209 Внимание! Скачать обновления

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

т.е. шифровальщика нет уже? просто скачать и установить обновления? я правильно понял?

[Sandor]

Так точно!

[Shevarev46]

Спасибо огромное