Шифровальщик spora

[Сергей Быков]

Подхватили вирус. Никто не сознается откуда. Закодировал файлы ворда и экселя без изменения расширеняи и имени.

Практически в каждой папке RUC82-F8ORX-XKTOG-OTZTX-ZFAAT-XRGZF-THEEY.KEY

 

Строгое предупреждение от модератора Mark D. Pearlstone

Не отправляйте вредоносные файлы на форум.

Файл KEY

CollectionLog-2017.01.25-22.02.zip

Логи FRST.rar

RUC82-F8ORX-XKTOG-OTZTX-ZFAAT-XRGZF-THEEY.rar

[Sandor]

Здравствуйте!

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
FF Homepage: C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\epxzg91t.HOME-C3F227D7A0 -> hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.3&gp=811824
FF Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\epxzg91t.HOME-C3F227D7A0\Extensions\homepage@mail.ru [2017-01-16]
FF Extension: (Поиск@Mail.Ru) - C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\epxzg91t.HOME-C3F227D7A0\Extensions\search@mail.ru [2017-01-16]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\epxzg91t.HOME-C3F227D7A0\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-01-16]
CHR HomePage: Default -> inline.go.mail.ru/homepage?inline_comp=hp&inline_hp_cnt=21071633
CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn11.0.3
CHR DefaultSearchKeyword: Default -> mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\odijcgafkhpobjlnfdgiacpdenpmbgme [2017-01-16]
CHR Extension: (Mail.Ru) - C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\phkdcinmmljblpnkohlipaiodlonpinf [2017-01-16]
2017-01-23 10:15 - 2017-01-23 10:15 - 00001088 ___RH C:\RUC82-F8ORX-XKTOG-OTZTX-ZFAAT-XRGZF-THEEY.KEY
2017-01-23 10:15 - 2017-01-23 10:15 - 00001088 ___RH C:\Documents and Settings\User\Рабочий стол\RUC82-F8ORX-XKTOG-OTZTX-ZFAAT-XRGZF-THEEY.KEY
2017-01-23 10:15 - 2017-01-23 10:15 - 00001088 ___RH C:\Documents and Settings\User\Application Data\RUC82-F8ORX-XKTOG-OTZTX-ZFAAT-XRGZF-THEEY.KEY
2017-01-23 10:09 - 2017-01-23 10:15 - 09680448 _____ C:\Documents and Settings\User\Application Data\3297437178
2017-01-21 12:47 - 2017-01-24 19:05 - 00000000 ____D C:\Documents and Settings\User\Application Data\IObit
2017-01-21 12:47 - 2017-01-21 12:47 - 00000000 ____D C:\Program Files\IObit
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Сергей Быков]

Добрый день.

Fixlog.txt

[Sandor]

Следы адвари и вымогателя очищены. С расшифровкой помочь не сможем.

[Сергей Быков]

Спасибо.