вирус шифровщик no more ransom

[slava-osipenko]

вирус no more ransom зашифровал все документы

CollectionLog-2017.01.14-11.00.zip

[kmscom]

https://forum.kasperskyclub.ru/index.php?showtopic=53939 это другой ПК ?

[slava-osipenko]

да это другой компьютер, оба поймали вирус.

Изменено 14 января, 2017 пользователем slava-osipenko

[mike 1]

Как всегда виноват админ, который не следит за тем, какое антивирусное ПО у него установлено на рабочих станциях.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[slava-osipenko]

Addition.txt прикрепил

Addition.txt

[mike 1]

Жду остальное.

[slava-osipenko]

прикрепил FRST.txt

FRST.txt

[mike 1]

Антивирус Касперского 6.0 для Windows Workstations (HKLM\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1424 - Лаборатория Касперского)

Антивирус уже давно снят с поддержки. К нему базы уже не выпускают. Обновляйтесь до KES 10! Переход на новую версию бесплатный.

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  S2 DrWebEngine; "C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe" [X]
  2017-01-10 11:29 - 2017-01-13 14:05 - 00000000 __SHD C:\Users\Все пользователи\Windows
  2017-01-10 11:29 - 2017-01-13 14:05 - 00000000 __SHD C:\ProgramData\Windows
  C:\Users\Администратор\AppData\Local\Temp\MSETUP4.EXE
  C:\Users\администратор.HOSPITAL\AppData\Local\Temp\GoogleToolbarInstaller_en32_signed.exe
  C:\Users\администратор.HOSPITAL\AppData\Local\Temp\GuardMailRu.exe
  C:\Users\администратор.HOSPITAL\AppData\Local\Temp\MailRuSputnik.exe
  C:\Users\администратор.HOSPITAL\AppData\Local\Temp\MSETUP4.EXE
  C:\Users\учетчик3.HOSPITAL\AppData\Local\Temp\6acf-938c-2061-77c1.exe
  C:\Users\учетчик3.HOSPITAL\AppData\Local\Temp\hGu8YnFX.dll
  C:\Users\учетчик3.HOSPITAL\AppData\Local\Temp\I64xG6fq.dll
  C:\Users\учетчик3.HOSPITAL\AppData\Local\Temp\install_flashplayer11x32_mssa_aih.exe
  C:\Users\учетчик3.HOSPITAL\AppData\Local\Temp\mrutmp.exe
  C:\Users\учетчик3.HOSPITAL\AppData\Local\Temp\MSETUP4.EXE
  C:\Users\учетчик3.HOSPITAL\AppData\Local\Temp\WQX0qioT.dll
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

[slava-osipenko]

Прикрепил Fixlog.txt

 

архива Дата_время.zip нет 

Fixlog.txt

Изменено 17 января, 2017 пользователем slava-osipenko

[mike 1]

Антивирус свой древний обновляйте до KES 10, если еще не сделали этого. Причем это касается всех рабочих станций в локальной сети.

 

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

[slava-osipenko]

Спасибо за помощь!