spora Вирус Сменил кодировку документов

[xxxALEXxxx]

Добрый день!

 

Пользователю пришло письмо с вложенным zip файлом, после открытия через определенное время сменилась кодировка всех документов на ПК и общих ресурсах. 

Прилагаю архив с вирусом, зашифрованный файл, и файлы  Farbar Recovery Scan Tool 

 

Помогите пожалуйста расшифровать файлы. 

 

Строгое предупреждение от модератора thyrex

Не прикладывайте вредоносные вложения

печи маунтинг.docx

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Здравствуйте!

 

Сначала нужен лог по правилам: Порядок оформления запроса о помощи

[xxxALEXxxx]

Сделал лог avz. Прикладываю. Вирус полностью удалил. Помогите пожалуйста расшифровать файлы. Вредоносный файл вообще не нужен?

CollectionLog-2017.01.17-13.48.zip

[Sandor]

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKU\S-1-5-21-484763869-1060284298-1801674531-1003\...\Run: [cfwxiojmxp] => "hxxp://rigneda.ru/?utm_source=uoua03&utm_content=3f5ac389090854fdc20d4928cb8b84b3&utm_term=7C288B93D903EC24CC23FB6FF49E5D47&utm_d=20170116"
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
FF DefaultSearchEngine: C:\Documents and Settings\ГЕ\Application Data\Mozilla\Firefox\Profiles\f9ifnfbj.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: C:\Documents and Settings\ГЕ\Application Data\Mozilla\Firefox\Profiles\f9ifnfbj.default -> Поиск@Mail.Ru
FF Homepage: C:\Documents and Settings\ГЕ\Application Data\Mozilla\Firefox\Profiles\f9ifnfbj.default -> hxxp://mail.ru/cnt/10445?gp=818405
FF Keyword.URL: C:\Documents and Settings\ГЕ\Application Data\Mozilla\Firefox\Profiles\f9ifnfbj.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B61310961-FFCE-4ABD-9B32-093261FEF594%7D&gp=811014
FF Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\ГЕ\Application Data\Mozilla\Firefox\Profiles\f9ifnfbj.default\Extensions\homepage@mail.ru [2017-01-16]
FF Extension: (SuperMegaBest.com) - C:\Documents and Settings\ГЕ\Application Data\Mozilla\Firefox\Profiles\f9ifnfbj.default\Extensions\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2014-08-05] [not signed]
FF Extension: (Поиск@Mail.Ru) - C:\Documents and Settings\ГЕ\Application Data\Mozilla\Firefox\Profiles\f9ifnfbj.default\Extensions\search@mail.ru [2017-01-16]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Documents and Settings\ГЕ\Application Data\Mozilla\Firefox\Profiles\f9ifnfbj.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-01-16]
FF Extension: (No Name) -  C:\Documents and Settings\ГЕ\Application Data\Mozilla\Firefox\Profiles\f9ifnfbj.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
FF Extension: (No Name) - C:\Documents and Settings\ГЕ\Application Data\Mozilla\Firefox\Profiles\f9ifnfbj.default\extensions\iobitascsurfingprotection@iobit.com [not found]
2017-01-16 15:34 - 2017-01-16 15:45 - 00000000 ____D C:\Documents and Settings\ГЕ\Application Data\PBot
2017-01-16 15:34 - 2017-01-16 15:34 - 00000000 ____D C:\Documents and Settings\ГЕ\Local Settings\Application Data\Вoйти в Интeрнет
2017-01-16 15:32 - 2017-01-16 15:32 - 00000000 ____D C:\Documents and Settings\ГЕ\Local Settings\Application Data\Войны престолов
2017-01-16 15:31 - 2017-01-16 15:31 - 00000037 _____ C:\Documents and Settings\ГЕ\Local Settings\Application Data\expand.ini
2017-01-16 15:29 - 2017-01-16 16:26 - 00000000 ____D C:\Documents and Settings\ГЕ\Local Settings\Application Data\sysnet
2017-01-16 15:29 - 2017-01-16 15:29 - 00000000 ____D C:\Documents and Settings\ГЕ\Local Settings\Application Data\Поиcк в Интeрнете
2017-01-16 09:18 - 2017-01-16 09:18 - 03094592 ____R C:\RUBC8-25XZA-AKTGE-RTRAT-OXTEE-HGTXG-GYYYY.LST
2017-01-16 09:18 - 2017-01-16 09:18 - 03094592 ____R C:\Documents and Settings\ГЕ\Application Data\RUBC8-25XZA-AKTGE-RTRAT-OXTEE-HGTXG-GYYYY.LST
2017-01-16 09:18 - 2017-01-16 09:18 - 00014492 ____R C:\RUBC8-25XZA-AKTGE-RTRAT-OXTEE-HGTXG-GYYYY.HTML
2017-01-16 09:18 - 2017-01-16 09:18 - 00014492 ____R C:\Documents and Settings\ГЕ\Application Data\RUBC8-25XZA-AKTGE-RTRAT-OXTEE-HGTXG-GYYYY.HTML
2017-01-16 08:07 - 2017-01-16 08:07 - 00001088 ____R C:\RUBC8-25XZA-AKTGE-RTRAT-OXTEE-HGTXG-GYYYY.KEY
2017-01-16 08:07 - 2017-01-16 08:07 - 00001088 ____R C:\Documents and Settings\ГЕ\Application Data\RUBC8-25XZA-AKTGE-RTRAT-OXTEE-HGTXG-GYYYY.KEY
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-bdf52c2f.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\2BZVsrHmW2nm.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\5GbE7XCWlDUr.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\8EfX33nD6Sdj.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\bJSnzF4K6aMT.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\ciCdw3Fk8vlh.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\CuoHGmgWESId.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\fkAzKWWHMDF8.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\Fm4FCW6W8P3b.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\fspxc2F4jzRK.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\g5tx0xdI7ABw.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\gE28Bw3l2J69.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\giiqKmwJKAoF.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\gWdaOH1ILq06.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\i09YRXnwJADu.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\IKpwnYeJoeNm.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\JhYMOXgelMRu.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\jOK0BXTtlKXg.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\lWiGzNc7G9Np.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\Mj4isI7hcnrX.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\pOjkOm2cXD3x.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\QAttJolgaWJO.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\QWG1cDdyNN2n.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\RdziYBwOYfwq.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\SMYrfzkGZ72W.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\SO3aAGJlQWcj.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\Szngpl6amQY7.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\U6DTfEIplZba.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\U8cp0jAsy6YY.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\UsbeirWc9aM0.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\uVNLikjVSmbD.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\v442oCX0LROe.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\vuTXirneqioy.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\yGofWbhuQaOO.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\zec1ARmRgkrM.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\zTJMGtzGzjvZ.exe
C:\Documents and Settings\ГЕ\Local Settings\Temp\Zw3m6xz26T3f.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[xxxALEXxxx]

Готово. Все во вложении

ClearLNK-17.01.2017_14-38.log

Fixlog.txt

[Sandor]

С расшифровкой, к сожалению, помочь не сможем.