письмо от Ростелеком-все файлы зашифрованы

[anapa-snab]

Добрый день. Вот и я попалась на невнимательности. 

Файлы во вложении. Спасибо.

 

Addition.txt

FRST.txt

[mike 1]

https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[anapa-snab]

https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

CollectionLog-2017.01.21-11.35.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteFile('C:\WINDOWS\system32\Tasks\{43DBDDEF-4142-4429-95DB-45BADCEBF2E7}','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\{AA7EB05E-A13D-460F-82FB-737B07EECC36}','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\{FA704DBC-DCCC-4D22-9BCC-DB70891E771E}','64');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера.

 

Сделайте новые логи Автологгером.

[anapa-snab]

Добрый день. 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteFile('C:\WINDOWS\system32\Tasks\{43DBDDEF-4142-4429-95DB-45BADCEBF2E7}','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\{AA7EB05E-A13D-460F-82FB-737B07EECC36}','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\{FA704DBC-DCCC-4D22-9BCC-DB70891E771E}','64');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера.

Сделайте новые логи Автологгером.

 

 

CollectionLog-2017.01.23-09.01.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[anapa-snab]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

FRST.txt

Addition.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  GroupPolicy: Restriction <======= ATTENTION
  GroupPolicy\User: Restriction <======= ATTENTION
  BHO-x32: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
  Toolbar: HKU\S-1-5-21-4060318231-100273902-4270660800-1001 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
  CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hp&ts=1429115792&from=face&uid=ST320LT012-9WS14C_W0VGL1JSXXXXW0VGL1JS"
  CHR Extension: (Универсальный перевод для Chrome) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\ciagpekplgpbepdgggflgmahnjgiaced [2015-04-15]
  2017-01-20 16:10 - 2017-01-21 09:23 - 00000000 __SHD C:\Users\Все пользователи\services
  2017-01-20 16:10 - 2017-01-21 09:23 - 00000000 __SHD C:\ProgramData\services
  2017-01-20 16:09 - 2017-01-21 09:23 - 00000000 __SHD C:\Users\Все пользователи\Csrss
  2017-01-20 16:09 - 2017-01-21 09:23 - 00000000 __SHD C:\ProgramData\Csrss
  2017-01-20 15:45 - 2017-01-20 15:45 - 03148854 _____ C:\Users\user\AppData\Roaming\FB3D018FFB3D018F.bmp
  2017-01-20 15:45 - 2017-01-20 15:45 - 00004170 _____ C:\Users\user\Desktop\README9.txt
  2017-01-20 15:45 - 2017-01-20 15:45 - 00004170 _____ C:\Users\user\Desktop\README8.txt
  2017-01-20 15:45 - 2017-01-20 15:45 - 00004170 _____ C:\Users\user\Desktop\README7.txt
  2017-01-20 15:45 - 2017-01-20 15:45 - 00004170 _____ C:\Users\user\Desktop\README6.txt
  2017-01-20 15:45 - 2017-01-20 15:45 - 00004170 _____ C:\Users\user\Desktop\README5.txt
  2017-01-20 15:45 - 2017-01-20 15:45 - 00004170 _____ C:\Users\user\Desktop\README4.txt
  2017-01-20 15:45 - 2017-01-20 15:45 - 00004170 _____ C:\Users\user\Desktop\README3.txt
  2017-01-20 15:45 - 2017-01-20 15:45 - 00004170 _____ C:\Users\user\Desktop\README2.txt
  2017-01-20 15:45 - 2017-01-20 15:45 - 00004170 _____ C:\Users\user\Desktop\README10.txt
  2017-01-20 13:52 - 2017-01-23 08:45 - 00000000 __SHD C:\Users\Все пользователи\Windows
  2017-01-20 13:52 - 2017-01-23 08:45 - 00000000 __SHD C:\ProgramData\Windows
  2017-01-20 16:17 - 2017-01-20 16:18 - 1012224 ___SH () C:\Users\user\AppData\Local\Temp\A86B5C6747183B1C9BBB4181C53F302D.dll
  2015-04-20 16:13 - 2015-04-20 16:13 - 0006144 _____ () C:\Users\user\AppData\Local\Temp\drvinstl.exe
  2015-04-20 16:13 - 2015-04-20 16:13 - 0006656 _____ () C:\Users\user\AppData\Local\Temp\securityaccess.exe
  Task: {3B08CAB2-CCD8-4CEF-BFB7-857A31238CDB} - \{FA704DBC-DCCC-4D22-9BCC-DB70891E771E} -> No File <==== ATTENTION
  Task: {7DFE9D12-6ED8-43D3-8852-AF1E91696630} - \{AA7EB05E-A13D-460F-82FB-737B07EECC36} -> No File <==== ATTENTION
  Task: {D31F557F-D697-4C77-93EE-259ABB71C9BB} - \{43DBDDEF-4142-4429-95DB-45BADCEBF2E7} -> No File <==== ATTENTION
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

[anapa-snab]

Добрый день. Сделала.

Fixlog.txt

[mike 1]

AV: Windows Defender (Disabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку вашего антивируса.

[anapa-snab]

 

AV: Windows Defender (Disabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку вашего антивируса.

 

 

СПАСИБО большое. А вы лично сможете помочь с расшифровкой? Напиши Ваш номер телефона, если да. Часть файлов у меня есть на флешках.

[mike 1]

Нет. Вообще расхлебывать последствия должна техподдержка того антивируса, которая допустила шифрование, а не мы (ну это по хорошему). В вашем случае нужно писать в саппорт Microsoft, т.к. Windows Defender - это их антивирус. Вот как-то так.

[anapa-snab]

Нет. Вообще расхлебывать последствия должна техподдержка того антивируса, которая допустила шифрование, а не мы (ну это по хорошему). В вашем случае нужно писать в саппорт Microsoft, т.к. Windows Defender - это их антивирус. Вот как-то так.

Спасибо большое за помощь. Вчера установила Касперского =)