Поймал шифровальшик

[qwerty228]

Здравствуйте. Буквально на днях словил шифровальщик (вероятно словил с этого сайта [удалено], сайт заражен, при попытке перейти по ссылка сайта, скачивается .zip архив с js файлом внутри). Зачем я его запустил - я не знаю). Антивирус среагировал и удалил файл. Далее в течение дня несколько раз срабатывал на тот же вирус. Была выполнена полная проверка Антивирусом Касперского, но ничего не нашлось. После перезагрузки На всех дисках создались несколько фалов ReadMe.txt с текстом о зашифровке файлов (README.txt), правда зашифрованных файлов я так и не нашел   . Провекра   Dr.Web CureIt! исправила только host .

CollectionLog-2017.01.14-23.04.zip

README.txt

Изменено 14 января, 2017 пользователем thyrex
подтверждено: ссылка на зверье

[SQ]

Здравствуйте,

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[qwerty228]

 

 

Сделано

Addition.txt

FRST.txt

[SQ]

Сами прописывали прокси-сервер?

FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> backup.ftp", ""
FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> backup.ftp_port", 0
FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> backup.socks", ""
FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> backup.socks_port", 0
FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> backup.ssl", ""
FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> backup.ssl_port", 0
FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> ftp", "197.149.179.181"
FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> ftp_port", 8888
FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> http", "197.149.179.181"
FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> http_port", 8888
FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> share_proxy_settings", true
FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> socks", "197.149.179.181"
FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> socks_port", 8888
FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> ssl", "197.149.179.181"
FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> ssl_port", 8888
FF NetworkProxy: Mozilla\Firefox\Profiles\wym5emzc.default -> type", 0

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  ShellIconOverlayIdentifiers: [    YndCase0Sync] -> {63D48440-63AB-44D0-B323-4731DFCDE9E9} => C:\Users\AFYDOZ\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File
  ShellIconOverlayIdentifiers: [    YndCase1Modified] -> {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} => C:\Users\AFYDOZ\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File
  ShellIconOverlayIdentifiers: [    YndCase2Error] -> {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} => C:\Users\AFYDOZ\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File
  ShellIconOverlayIdentifiers: [    YndCase3Shared] -> {AF8D197E-7022-4c3d-BD88-68AD35C9C169} => C:\Users\AFYDOZ\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File
  ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  Toolbar: HKU\S-1-5-21-3763500095-487216388-3683037436-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
  U0 aswVmm; no ImagePath
  2017-01-11 20:38 - 2017-01-12 17:20 - 00000000 __SHD C:\Users\Все пользователи\Windows
  2017-01-11 20:38 - 2017-01-12 17:20 - 00000000 __SHD C:\ProgramData\Windows
  2016-06-07 21:20 - 2016-06-07 21:20 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
  CustomCLSID: HKU\S-1-5-21-3763500095-487216388-3683037436-1000_Classes\CLSID\{E36606FE-036A-4dd0-ABA9-A58F409803F0}\InprocServer32 -> no filepath
  AlternateDataStreams: C:\Users\AFYDOZ:Heroes & Generals [38]
  File: C:\Users\AFYDOZ\AppData\Local\Gaijin\Program Files (x86)\NetAgent\gjagent.exe
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

[qwerty228]

 

 

Прокси не прописывал

Процедуру сделал

Прокси не прописывал.

 

Процедуру сделал

Fixlog.txt

[SQ]

Прокси не прописывал

Уберите тогда настройку в firefox

 

Если есть лицензия на продукты ЛК пробуйте обратиться,https://forum.kasperskyclub.ru/index.php?showtopic=48525, но шансов мало что помогут.

 

P.S. Не удаляйте каталог C:\FRST пока не решите вопрос с расшифровкой.

[qwerty228]

 

Получается следов вируса больше нет?

[SQ]

Получается следов вируса больше нет?

Согласно ранее приложенным логам, нет вредоносного ПО.

[qwerty228]

 

Получается следов вируса больше нет?

Согласно ранее приложенным логам, нет вредоносного ПО.

 

Большое спасибо за помощь

[SQ]

Удачи Вам!