Прошу помочь в расшифровке файлов на рабочем компьютере

[Pvclimb]

На компьютере появился вирус. Попал он посредством открытия вредоносного электронного письма.

Все файлы зашифрованы.

1) Проверил комп сканером HitmanPro 3.7 и Док. Веб. - Удалил 3 трояна (readme.exe, start.exe...)

2) утилиты расшифровщики не помогли

3) Отсканировал еще раз AVZ (протокол ниже)

Во вложении также: зашифрованный файл и текст вымогателей.

 

Прошу вас помочь в решении этого вопроса.

Спасибо!

README2.txt

RBph8yinlbye5f9LoO7iDJ0H8lkYNYBinYYoy3wiCHM=.4079878281A30A70216E.rar

avz_log.txt

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[Pvclimb]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Прочнел. Сейчас изменю название темы.

[Sandor]

Название менять не нужно. Нужен отчет CollectionLog.

[Pvclimb]

Прикрепил.

CollectionLog-2017.03.29-13.51.zip

[Sandor]

1. Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

2. Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

3.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Pvclimb]

Сделал.

ClearLNK-29.03.2017_14-28.log

AdwCleanerC0.txt

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Pvclimb]

Сделал.

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-2896389803-2528871504-2419315469-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-2896389803-2528871504-2419315469-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Handler: soloresinternetrusengnum - {1B7043A7-84E1-443a-804F-20A75728892C} - C:\PROGRA~1\SOLO9R~1\SoloRes.dll No File
Handler: soloresnum - {88F71360-8289-42d5-93EF-836D7F89E277} - C:\PROGRA~1\Solo9Num\SoloRes.dll No File
2017-03-23 14:22 - 2017-01-13 17:00 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2017-03-23 14:22 - 2017-01-13 17:00 - 00000000 __SHD C:\ProgramData\Csrss
2017-03-23 14:22 - 2017-01-13 12:45 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-03-23 14:22 - 2017-01-13 12:45 - 00000000 __SHD C:\ProgramData\Windows
2017-01-13 16:59 - 2017-01-13 16:59 - 4320054 _____ () C:\Users\Кристина\AppData\Roaming\70644D4570644D45.bmp
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Pvclimb]

Сделал.

Fixlog.txt

[Sandor]

Следы адвари и вымогателя очищены. С расшифровкой помочь не сможем.

[Pvclimb]

Следы адвари и вымогателя очищены. С расшифровкой помочь не сможем.

 

И что с этим делать дальше?

[Sandor]

Отложите до лучших времен поврежденные файлы. Хоть и редко, но случаются удачные события - злодеев могут поймать и изъять их инструменты и опубликовать. Либо иногда они сами выкладывают ключи.

 

При работе с почтой будьте бдительны.