xorist Вирус шифровальщик

[Ivan Kezin]

Логи

Shortcut.txt

Addition.txt

FRST.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM-x32\...\RunOnce: [{78EC9960-41E8-4D60-9E74-D35D1356B710}] => cmd.exe /C start /D "C:\Users\836D~1\AppData\Local\Temp\1" /B {78EC9960-41E8-4D60-9E74-D35D1356B710}.cmd <===== ATTENTION
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2016-12-25 10:00 - 2016-12-25 10:00 - 00000281 _____ C:\Users\Public\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2016-12-25 10:00 - 2016-12-25 10:00 - 00000281 _____ C:\Users\Public\Downloads\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2016-12-25 10:00 - 2016-12-25 10:00 - 00000281 _____ C:\Users\Public\Documents\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2016-12-25 09:54 - 2016-12-25 09:54 - 00000281 _____ C:\Users\Все пользователи\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2016-12-25 09:54 - 2016-12-25 09:54 - 00000281 _____ C:\ProgramData\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2016-12-24 06:11 - 2016-12-24 06:11 - 00004553 _____ C:\Users\user3\HOW_OPEN_FILES.hta
2016-12-24 06:09 - 2016-12-24 06:09 - 00004553 _____ C:\Users\user3\Downloads\HOW_OPEN_FILES.hta
2016-12-24 06:08 - 2016-12-24 06:08 - 00004553 _____ C:\Users\user3\Documents\HOW_OPEN_FILES.hta
2016-12-24 06:08 - 2016-12-24 06:08 - 00004553 _____ C:\Users\user3\Desktop\HOW_OPEN_FILES.hta
2016-12-24 06:08 - 2016-12-24 06:08 - 00004553 _____ C:\Users\user3\AppData\Roaming\HOW_OPEN_FILES.hta
2016-12-24 06:08 - 2016-12-24 06:08 - 00004553 _____ C:\Users\user3\AppData\Local\Temp\HOW_OPEN_FILES.hta
2016-12-24 06:07 - 2016-12-24 06:12 - 00004553 _____ C:\Users\Все пользователи\HOW_OPEN_FILES.hta
2016-12-24 06:07 - 2016-12-24 06:12 - 00004553 _____ C:\ProgramData\HOW_OPEN_FILES.hta
2016-12-24 06:07 - 2016-12-24 06:07 - 00004553 _____ C:\Users\Public\HOW_OPEN_FILES.hta
2016-12-24 06:07 - 2016-12-24 06:07 - 00004553 _____ C:\Users\Public\Downloads\HOW_OPEN_FILES.hta
2016-12-24 06:07 - 2016-12-24 06:07 - 00004553 _____ C:\Users\Public\Documents\HOW_OPEN_FILES.hta
2016-12-19 16:33 - 2016-12-19 16:33 - 00000688 _____ C:\Users\user1\AppData\Local\Temp\work.bat
2016-12-19 16:32 - 2016-12-19 16:32 - 00001470 _____ C:\Users\user1\AppData\Local\Temp\downloadfile.vbs
zip: %SystemDrive%\FRST\Quarantine
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

 

 

Файл Date_Time.zip (Дата_время) с рабочего стола тоже прикрепите к следующему сообщению.

Также упакуйте и прикрепите парочку небольших зашифрованных файлов.

[Ivan Kezin]

В архиве зараженные файлы.

27.12.2016_10.01.12.zip

Fixlog.txt

Новая папка (3).rar

[Sandor]

Постарайтесь найти пару: зашифрованный/не зашифрованный. Поищите на флэшках, других ПК и т.п.

[Ivan Kezin]

В Архиве зараженные файлы, и один текстовый файл рабочий.

Новая папка (3).rar

КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt

[Sandor]

Файл нужен размером более 8 килобайт.

[Ivan Kezin]

Такой подойдет?

1Cv8tmp.1CD.rar

[Sandor]

Не зашифрованный такой же есть? Речь идет о паре зашифрованный/не зашифрованный, размером более 8к.

[Ivan Kezin]

Вот не зараженный.

1Cv8tmp.rar

[Sandor]

Размеры зашифрованного и здорового файлов должны совпадать.