Вчера подхватил Шифровальщик с расширением NO_MORE_RANSOME

[Василий Баращук]

По почте прислали вирус, который зашифровал файлы на компьютере. Помогите расшифровать файлы пожалуйста программой  Farbar Recovery Scan Tool прошел она выдала эти файлы сейчас сканирую вашей программой KVRT скину лог

Addition.txt

FRST.txt

Shortcut.txt

Изменено 22 ноября, 2016 пользователем Василий Баращук

[mike 1]

https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[Василий Баращук]

https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

CollectionLog-2016.11.22-12.04.zip

Addition.txt

FRST.txt

Shortcut.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

2016-11-21 14:50 - 2016-11-21 14:50 - 06220854 _____ C:\Users\Teplyakova_NA\AppData\Roaming\EBD93D39EBD93D39.bmp

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README9.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README8.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README7.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README6.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README5.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README4.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README3.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README2.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README10.txt

2016-11-21 14:28 - 2016-11-21 14:28 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-11-21 14:28 - 2016-11-21 14:28 - 00000000 __SHD C:\ProgramData\Windows

DeleteQuarantine: 

File: C:\Users\Teplyakova_NA\AppData\Local\Temp\212DE9BB.exe

C:\Users\Teplyakova_NA\AppData\Local\Temp\212DE9BB.exe

Task: {E2F9857F-71C3-456B-9653-C660913CFFD3} - System32\Tasks\At1 => Rundll32.exe qxrryuiz.xc,cobcuklt <==== ATTENTION

Task: C:\Windows\Tasks\At1.job => rundll32 exe qxrryuiz xc cobcuklt NetScheduleJobAdd

zip:C:\FRST\Quarantine

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
  

 

 

[Василий Баращук]

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
2016-11-21 14:50 - 2016-11-21 14:50 - 06220854 _____ C:\Users\Teplyakova_NA\AppData\Roaming\EBD93D39EBD93D39.bmp
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README9.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README8.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README7.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README6.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README5.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README4.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README3.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README2.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README10.txt
2016-11-21 14:28 - 2016-11-21 14:28 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-11-21 14:28 - 2016-11-21 14:28 - 00000000 __SHD C:\ProgramData\Windows
DeleteQuarantine: 
File: C:\Users\Teplyakova_NA\AppData\Local\Temp\212DE9BB.exe
C:\Users\Teplyakova_NA\AppData\Local\Temp\212DE9BB.exe
Task: {E2F9857F-71C3-456B-9653-C660913CFFD3} - System32\Tasks\At1 => Rundll32.exe qxrryuiz.xc,cobcuklt <==== ATTENTION
Task: C:\Windows\Tasks\At1.job => rundll32 exe qxrryuiz xc cobcuklt NetScheduleJobAdd
zip:C:\FRST\Quarantine

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Спасибо 

[mike 1]

Отчет где?

[Василий Баращук]

Архив загрузил через форму на сайте.

Fixlog.txt

Изменено 23 ноября, 2016 пользователем Василий Баращук

[mike 1]

 

AV: ESET Smart Security 8.0 (Enabled - Out of date) {19259FAE-8396-A113-46DB-15B0E7DFA289}

За расшифровкой обращайтесь к своему вендору.

[Василий Баращук]

Помогите пожалуйста просто мы сейчас уходим от Eset smart Security на Kaspersky и принимаем решение тк их служба поддержки не сильно работает. Я сам работаю системным администратором уже закупили на серваки Касперского так же планируем переводить защиту Пользователей на Каспера а тут я покажу что вы можете это сделать и мне точно одобрят закупку если надо подтверждающие документы могу отправить подтверждение лицензии.

Изменено 23 ноября, 2016 пользователем Василий Баращук

[mike 1]

 

 

что вы можете это сделать и мне точно одобрят закупку если надо подтверждающие документы могу отправить подтверждение лицензии.

Раньше нужно было думать. 

 

А вам как к админу вопрос: 

 

 

User (S-1-5-21-1089283133-4089430199-3361968099-1000 - Administrator - Enabled) => C:\Users\User

Почему ваши пользователи сидят под админом?

Изменено 23 ноября, 2016 пользователем mike 1

[Василий Баращук]

Этот пк сейчас стоит у меня в серверной, тк мы его отключили от сетки и тут уже творю с ним то что вы советуете. Сейчас я зашел под собой, так как при входе в ее учетку "Teplyakova_NA" у меня выскакивала ошибка при нажатии отмена она выскакивает повторно и так бесконечно. А в больницу я пришел не давно еще тут не успел все доделать 290 пк в которых тут вообще полная жесть!

и из-за этого администрацию и хочу перевести на каспера

Изменено 23 ноября, 2016 пользователем Василий Баращук

[mike 1]

Этой модификации шифровальщика Shade от силы пару дней. Расшифровки на данный момент попросту нет.