spora Spora Ransomware вымогатель

[Sperare]

Большая просьба помочь со спорой. Зашифрованы все документы, Офис, Adobe, jpg, архивы. Outlook жив, что странно. Деньги вымогали через страницу. Скриншот страницы приложен. 
 
Kaspersky Virus Removal запускали. Файлы Farbar в приложении. 

 

RU7AD-70RXK-XTKGR-TXTOZ-GTAKK-GTAOZ.html

CollectionLog 2017.102.14.15.55.rar

[Sandor]

Здравствуйте!

 

А реальный (не перепакованный) CollectionLog.zip по правилам покажете?

[Sperare]

Добрый день. Странно, я думал это то что надо.. извиняюсь. Пойду читать что там должно быть.

[Sperare]

Теперь правильный файл выложил. Второй архив - логи Farbar. Просьба помочь. 

CollectionLog-2017.02.15-10.40.zip

Farbar log.rar

[Sandor]

Переделайте, пожалуйста, логи FRST. Утилиту запускайте правой кнопкой от имени администратора.

[Sperare]

Не вопрос, готово.

FRST.txt

Addition.txt

Shortcut.txt

[Sandor]

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM-x32\...\RunOnce: [{6BED3ADD-63A3-4F93-AC4C-56FA7960863A}] => C:\Users\ladm\AppData\Local\Temp\{4824DCDC-3C35-449B-A1F6-33E6BAEABE54}\{6BED3ADD-63A3-4F93-AC4C-56FA7960863A}.cmd [290 2017-02-14] () <===== ATTENTION
AppInit_DLLs: C:\PROGRA~2\NVIDIA~1\3DVISI~1\NVSTIN~1.DLL => No File
Startup: C:\Users\s02\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RU7AD-70RXK-XTKGR-TXTOZ-GTAKK-GTAOZ.html [2017-02-14] ()
C:\Users\ladm\AppData\Local\Temp\{4824DCDC-3C35-449B-A1F6-33E6BAEABE54}\{6BED3ADD-63A3-4F93-AC4C-56FA7960863A}.cmd
2017-02-14 14:27 - 2017-02-14 15:32 - 0000000 _____ () C:\Users\s02\AppData\Local\Temp\e6d93dd1acf54d11.exe
Task: {A22678ED-389D-4E1D-8862-D570D6D662B4} - \CCleanerSkipUAC -> No File <==== ATTENTION
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Sperare]

спасибо!

Каку почистил, но файлы разумеется так и остались закодированные. Файл прикрепил. 

 

В любом случае спасибо!

 

Fixlog.txt

[Sandor]

Запускали опять не от имени администратора?

 

файлы разумеется так и остались закодированные

Да, увы, пока нет лекарства для этого вымогателя.

[Sperare]

Запускал от админа, но скорее всего ключ в реестре не давал убирать работающий екзешник. Второй раз запустил, тогда все вычистил. Спасибо за помощь. 

Fixlog.txt

[Sandor]

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Sperare]

проверил. вот что говорит. 

SecurityCheck.txt

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 4.20 бета 2 (64-разрядная) v.4.20.2 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.13 v.7.13.101 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 24 PPAPI v.24.0.0.186 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------

Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО