Вирус зашифровал офисные файлы и базы 1с

[z2rim]

День добрый.
Прошу помощи:
Являюсь обладателем KIS 17.
Видимо, вирус проник из почты.
Просканировал комп утилитой FRST.
Отправляю логи и сообщение из почты, и несколько зашифрованных и оригинальных файлов.
 
Спасибо.

Строгое предупреждение от модератора thyrex

Не прикрепляйте вредоносов

SysWHist.rar

1Башнефть для УВосток-сервис Приложение №1 Описание предмета закупки.xls

Башнефть для УВосток-сервис Приложение №1 Описание предмета закупки (2).xls

Документ Microsoft Word (4).doc

Документ Microsoft Word (4)111.doc

20170125_175648111.rar

Addition.txt

FRST.txt

Изменено 28 января, 2017 пользователем thyrex
вредоносный файл

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[z2rim]

Вирус зашифровал файлы офиса и базу 1с.

Скорее всего подцепили по почте.

Прошу помощь расшифровать файлы.

 

Первый раз сообщение о помощи писал тут

https://forum.kasperskyclub.ru/index.php?showtopic=54208

Создал новую тему с учетом замечаний. 

CollectionLog-2017.02.01-12.24.zip

[Sandor]

Здравствуйте!

 

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKU\S-1-5-21-3082556124-2373624529-2564164701-1000\...\Policies\Explorer\Run: [QMKtKuaCdmCzkaroWxIMmdDydw] => C:\Windows\system32\RmkEQjRrRcEQGDsUKE.exe
HKU\S-1-5-18\...\Policies\Explorer: [Run] "C:\Users\user\AppData\Roaming\Microsoft\Windows\dllcache\label.exe"
HKU\S-1-5-18\...\Command Processor: "C:\Users\user\AppData\Roaming\Microsoft\Windows\dllcache\label.exe" <===== ATTENTION
SearchScopes: HKU\S-1-5-21-3082556124-2373624529-2564164701-1000 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={60D40FB6-5017-4C17-8170-C931BE9818E8}&mid=5f7ca46645cc47d2bad395c31d4570ea-dfe9d6c931879f18d9aa3502526d5379b13bf5de&lang=ru&ds=AVG&coid=avgtbavg&cmpid=0915tb&pr=fr&d=2014-11-13 09:19:05&v=4.1.8.599&pid=wtu&sg=&sap=dsp&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3082556124-2373624529-2564164701-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={60D40FB6-5017-4C17-8170-C931BE9818E8}&mid=5f7ca46645cc47d2bad395c31d4570ea-dfe9d6c931879f18d9aa3502526d5379b13bf5de&lang=ru&ds=AVG&coid=avgtbavg&cmpid=0915tb&pr=fr&d=2014-11-13 09:19:05&v=4.1.8.599&pid=wtu&sg=&sap=dsp&q={searchTerms}
Toolbar: HKU\S-1-5-21-3082556124-2373624529-2564164701-1000 -> No Name - {001032CB-B0AC-4F2C-A650-AD4B2B26E5DA} -  No File
CHR Extension: (Яндекс) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\aojoeckcmjghlchnnenfkbflndbepjpk [2016-12-07]
CHR Extension: (Яндекс) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\cncgohepihcekklokhbhiblhfcmipbdh [2016-04-27]
CHR Extension: (Стартовая — Яндекс) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne [2016-04-28]
2017-01-27 10:01 - 2017-01-27 10:01 - 00001088 ___RH C:\Users\user\Desktop\RU010-91RRZ-AFTOE-HZTOK-TXZKX-KTXKE-RFTHR-ORYYY.KEY
2017-01-27 10:01 - 2017-01-27 10:01 - 00001088 ___RH C:\Users\user\AppData\Roaming\RU010-91RRZ-AFTOE-HZTOK-TXZKX-KTXKE-RFTHR-ORYYY.KEY
2017-01-27 10:01 - 2017-01-27 10:01 - 00001088 ___RH C:\RU010-91RRZ-AFTOE-HZTOK-TXZKX-KTXKE-RFTHR-ORYYY.KEY
2017-01-27 09:57 - 2017-01-27 10:01 - 09213208 _____ C:\Users\user\AppData\Roaming\3730377854
FirewallRules: [{7979A714-1DF7-4975-92DB-DBE712CEE7A7}] => C:\Program Files\AVG\AVG2014\avgnsx.exe
FirewallRules: [{0B4C0655-364B-491E-BD51-85960E60C9C2}] => C:\Program Files\AVG\AVG2014\avgnsx.exe
FirewallRules: [{4329A85A-16B5-414C-B947-5F4A13127238}] => C:\Program Files\AVG\AVG2014\avgdiagex.exe
FirewallRules: [{2889CFDD-C4BA-4687-B50F-E37636E9C7D0}] => C:\Program Files\AVG\AVG2014\avgdiagex.exe
FirewallRules: [{23B0B075-DB58-4509-96D4-9B2837DA96D2}] => C:\Program Files\AVG\AVG2014\avgmfapx.exe
FirewallRules: [{9D23C499-7D2E-44FA-A5B1-21DE75322489}] => C:\Program Files\AVG\AVG2014\avgmfapx.exe
FirewallRules: [{7A8518DC-887E-4485-847A-FF92FEE3C5F5}] => C:\Program Files\AVG\AVG2014\avgemcx.exe
FirewallRules: [{F9857603-FFEF-44A1-8AA5-B6CCC9EEDAA3}] => C:\Program Files\AVG\AVG2014\avgemcx.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.