SPORA RANSOMWARE

[Vladislav Bronich]

Добрый день! программа SPORA RANSOMWARE зашифровала все файлы xls, doc, pdf на компьютере, и в сетевых папках. Почему KIS лицензия не распознал злодея. помогите решить проблемы расшифровки файлов пожалуйста. Windows Vista лицензия 32 bit установлена на компьютере

Изменено 7 февраля, 2017 пользователем Soft
убрал излишние форматирование

[Sandor]

Ждем логи.

[Soft]

Порядок оформления запроса о помощи

[Vladislav Bronich]

ок. разбираюсь как делать

[Vladislav Bronich]

Доброе утро!

Сделал по инструкции

логи в архиве

CollectionLog-2017.02.08-10.24.zip

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Ask Toolbar

Delta Chrome Toolbar

Delta toolbar

Служба автоматического обновления программ

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Vladislav Bronich]

сделано

 

AdwCleanerS0.txt

[Sandor]

В Программах удалите также Guard@Mail.Ru.

 

Далее:

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Прокси
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Vladislav Bronich]

при выполнение "Clean" в программе AdwCleaner (by Malwarebytes) происходит зависание.

и не отходит.

[Sandor]

Сделайте очистку в безопасном режиме. Следующий пункт (FRST) делайте в обычном.

[Vladislav Bronich]

можно ли в ручную удалять папки после "Clean" в программе AdwCleaner (by Malwarebytes)

так как после того, как я снял галочки с папок. он реестр очистил, а на папках все так и виснет в безопасном

спасибо

[Sandor]

Следующий пункт (FRST) делайте в обычном

Там и очистим.

Лог очистки AdwCleaner тоже покажите.

[Vladislav Bronich]

Доброе утро!

Вложения
Спасибо

AdwCleanerC0.txt

AdwCleanerC2.txt

FRST.txt

Addition.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=hxxp://www.istartsurf.com/?type=hp&ts=1408522545&from=amt&uid=WDCXWD2500KS-00MJB0_WD-WCANK448079980799
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1408522545&from=amt&uid=WDCXWD2500KS-00MJB0_WD-WCANK448079980799&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1408522545&from=amt&uid=WDCXWD2500KS-00MJB0_WD-WCANK448079980799
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1408522545&from=amt&uid=WDCXWD2500KS-00MJB0_WD-WCANK448079980799&q={searchTerms}
HKU\S-1-5-21-948305045-2484261172-3037323439-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1408522545&from=amt&uid=WDCXWD2500KS-00MJB0_WD-WCANK448079980799&q={searchTerms}
HKU\S-1-5-21-948305045-2484261172-3037323439-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1408522545&from=amt&uid=WDCXWD2500KS-00MJB0_WD-WCANK448079980799
HKU\S-1-5-21-948305045-2484261172-3037323439-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1408522545&from=amt&uid=WDCXWD2500KS-00MJB0_WD-WCANK448079980799&q={searchTerms}
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-948305045-2484261172-3037323439-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -  No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1408522545&from=amt&uid=WDCXWD2500KS-00MJB0_WD-WCANK448079980799
OPR StartupUrls: "hxxp://mail.ru/cnt/10445"
OPR Extension: (SuperMegaBest.com) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\aonedlchkbicmhepimiahfalheedjgbh [2016-08-22]
S3 TuneUpUtilitiesDrv; \??\C:\Program Files\TuneUp Utilities 2014\TuneUpUtilitiesDriver32.sys [X]
2017-02-07 14:34 - 2017-02-07 14:34 - 00158352 _____ (Mail.Ru) C:\Users\User\Downloads\amigo_dkit (1).exe
2017-02-07 09:37 - 2017-02-07 09:37 - 00016726 _____ C:\Users\User\AppData\Roaming\RUA61-99OGA-KATXK-AOTGO-THXAT-FAFZX-TRRHE-RYYYY.html
2017-02-07 09:37 - 2017-02-07 09:37 - 00016726 _____ C:\RUA61-99OGA-KATXK-AOTGO-THXAT-FAFZX-TRRHE-RYYYY.html
2017-02-07 09:37 - 2017-02-07 09:37 - 00001088 _____ C:\Users\User\AppData\Roaming\RUA61-99OGA-KATXK-AOTGO-THXAT-FAFZX-TRRHE-RYYYY
2017-02-07 09:33 - 2017-02-07 09:37 - 21251032 _____ C:\Users\User\AppData\Roaming\2153036974
2015-08-21 10:02 - 2015-08-21 10:02 - 0000236 _____ () C:\Users\User\AppData\Roaming\CONFIRMATION.KEY
2015-08-21 10:02 - 2015-08-21 10:02 - 0001312 ___RS () C:\Users\User\AppData\Roaming\VAULT.KEY
Task: {0550A5F4-A8D4-4AFB-A73B-47CC8C1F1F98} - \1deec9dc-0c25-4a51-9b6f-4f2085a5534f-11 -> No File <==== ATTENTION
Task: {068D091D-1E83-4A36-99FE-FD2B9E98CB15} - \Delta Toolbar Updater -> No File <==== ATTENTION
Task: {627C69B0-34F2-473E-915D-C68C38821CF4} - \roller_coaster_park_updating_service -> No File <==== ATTENTION
Task: {65647A58-B24E-486C-BF38-15458DBF0512} - \Программа онлайн-обновления Adobe. -> No File <==== ATTENTION
Task: {6A541E26-A8C3-4854-A071-3EF42518E687} - \roller_coaster_park_notification_service -> No File <==== ATTENTION
Task: {6F3BF3E7-62E2-4E29-B02D-C63740EC3FAB} - \Comp Rest -> No File <==== ATTENTION
Task: {7AE8BCDD-58FC-465F-8AF2-689DC529C34F} - \1deec9dc-0c25-4a51-9b6f-4f2085a5534f-4 -> No File <==== ATTENTION
Task: {9AC2665D-27D0-4944-AEA6-32E7593B29AF} - \ShdUpdate -> No File <==== ATTENTION
Task: {9E1A1B4D-113F-46A0-A74F-3A116E69A728} - \Image Experience -> No File <==== ATTENTION
Task: {F006974D-5DA5-40D0-B3FC-F4CAFCCA3BDD} - \1deec9dc-0c25-4a51-9b6f-4f2085a5534f-3 -> No File <==== ATTENTION
Task: {F8469CF0-EC0C-42B5-BFDC-7083E5979104} - System32\Tasks\Safe-Ads Updater => Wscript.exe //B "C:\Users\User\AppData\Local\delta\delta\1.3.28.0\..\updt.js"
Task: {FE464910-6244-4639-9445-0A1059F921B1} - \0149a2ee-e2c3-41bf-bca1-e27432b34280 -> No File <==== ATTENTION
Task: C:\Windows\Tasks\0149a2ee-e2c3-41bf-bca1-e27432b34280.job => C:\Program Files\HD-V1.9\0149a2ee-e2c3-41bf-bca1-e27432b34280.exe <==== ATTENTION
Task: C:\Windows\Tasks\1deec9dc-0c25-4a51-9b6f-4f2085a5534f-11.job => C:\Program Files\HD-V1.9\1deec9dc-0c25-4a51-9b6f-4f2085a5534f-11.exe <==== ATTENTION
Task: C:\Windows\Tasks\1deec9dc-0c25-4a51-9b6f-4f2085a5534f-3.job => C:\Program Files\HD-V1.9\1deec9dc-0c25-4a51-9b6f-4f2085a5534f-3.exe <==== ATTENTION
Task: C:\Windows\Tasks\1deec9dc-0c25-4a51-9b6f-4f2085a5534f-4.job => C:\Program Files\HD-V1.9\1deec9dc-0c25-4a51-9b6f-4f2085a5534f-4.exe
AlternateDataStreams: C:\Windows:B6315C5AECA68CE4 [50]
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Vladislav Bronich]

Добрый день!

Спасибо

Fixlog.txt