Зашифрованы файлы "NO_MORE_RANSOM" (.no_more_ransom)

[Николай123]

Доброго времени суток. Проблема состоит в том что было получено письмо на почту с вирусом и теперь все важные файлы зашифрованы с расширением "NO_MORE_RANSOM" (.no_more_ransom). Прошу помочь с расшифровкой.

CollectionLog-2017.04.05-23.10.zip

[Roman_Five]

какие из этих DNS прописывали не сами?

10.163.182.11
10.163.182.8
217.20.80.40
8.8.8.8

Пофиксите в HiJackThis:
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.mail.ru/?ieverfix=1&fr=ieverfix_sg
R0 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search

В этих папаках что-нибудь есть?

2017-03-29 15:39:57 ----D---- C:\ProgramData\WildTangent
2017-03-31 00:01:31 ----SHD---- C:\ProgramData\services
2017-03-31 00:01:22 ----SHD---- C:\ProgramData\Drivers
2017-03-31 00:01:15 ----SHD---- C:\ProgramData\Csrss
2017-03-29 15:39:01 ----SHD---- C:\ProgramData\Windows

Приложите логи FRST
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

[Николай123]

какие из этих DNS прописывали не сами?

10.163.182.11
10.163.182.8
217.20.80.40
8.8.8.8

Пофиксите в HiJackThis:

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.mail.ru/?ieverfix=1&fr=ieverfix_sg
R0 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search

В этих папаках что-нибудь есть?

2017-03-29 15:39:57 ----D---- C:\ProgramData\WildTangent
2017-03-31 00:01:31 ----SHD---- C:\ProgramData\services
2017-03-31 00:01:22 ----SHD---- C:\ProgramData\Drivers
2017-03-31 00:01:15 ----SHD---- C:\ProgramData\Csrss
2017-03-29 15:39:01 ----SHD---- C:\ProgramData\Windows

Приложите логи FRST

http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry647696

Я ничего не понял из написанного))) можете простым языком объяснить, что надо сделать?)))

 

какие из этих DNS прописывали не сами?

10.163.182.11
10.163.182.8
217.20.80.40
8.8.8.8

Пофиксите в HiJackThis:

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.mail.ru/?ieverfix=1&fr=ieverfix_sg
R0 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search

В этих папаках что-нибудь есть?

2017-03-29 15:39:57 ----D---- C:\ProgramData\WildTangent
2017-03-31 00:01:31 ----SHD---- C:\ProgramData\services
2017-03-31 00:01:22 ----SHD---- C:\ProgramData\Drivers
2017-03-31 00:01:15 ----SHD---- C:\ProgramData\Csrss
2017-03-29 15:39:01 ----SHD---- C:\ProgramData\Windows

Приложите логи FRST

http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry647696

Я ничего не понял из написанного))) можете простым языком объяснить, что надо сделать?)))

 

В указанной вами первой папке есть программа и файлы.

Вот они.

Прошу прощения но я валенок в этом деле, я не знаю что значит прописывать DNS  и что такое логи FRST))) Проинструктируйте что нужно сделать если можно.

Разобрался, вот файл.

вот.

moregames.ico

WildTangent.rar

FRST.txt

[Николай123]

Доброго времени суток. Подскажите, есть решение моей проблемы с расшифровкой?

[Sandor]

Разобрался, вот файл

 

Нужен еще один - Addition.txt

[Николай123]

 

Разобрался, вот файл

 

Нужен еще один - Addition.txt

 

Вот.

Addition.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2017-03-31 00:01 - 2017-04-01 00:15 - 00000000 __SHD C:\Users\Все пользователи\services
2017-03-31 00:01 - 2017-04-01 00:15 - 00000000 __SHD C:\ProgramData\services
2017-03-31 00:01 - 2017-04-01 00:13 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2017-03-31 00:01 - 2017-04-01 00:13 - 00000000 __SHD C:\ProgramData\Csrss
2017-03-30 23:58 - 2017-03-30 23:58 - 03148854 _____ C:\Users\299\AppData\Roaming\2C1833842C183384.bmp
2017-03-30 23:58 - 2017-03-30 23:58 - 00004154 _____ C:\Users\299\Desktop\README9.txt
2017-03-30 23:58 - 2017-03-30 23:58 - 00004154 _____ C:\Users\299\Desktop\README8.txt
2017-03-30 23:58 - 2017-03-30 23:58 - 00004154 _____ C:\Users\299\Desktop\README7.txt
2017-03-30 23:58 - 2017-03-30 23:58 - 00004154 _____ C:\Users\299\Desktop\README6.txt
2017-03-30 23:58 - 2017-03-30 23:58 - 00004154 _____ C:\Users\299\Desktop\README5.txt
2017-03-30 23:58 - 2017-03-30 23:58 - 00004154 _____ C:\Users\299\Desktop\README4.txt
2017-03-30 23:58 - 2017-03-30 23:58 - 00004154 _____ C:\Users\299\Desktop\README3.txt
2017-03-30 23:58 - 2017-03-30 23:58 - 00004154 _____ C:\Users\299\Desktop\README2.txt
2017-03-30 23:58 - 2017-03-30 23:58 - 00004154 _____ C:\Users\299\Desktop\README10.txt
2017-03-30 23:58 - 2017-03-30 23:58 - 00004154 _____ C:\Users\299\Desktop\README1.txt
2017-03-29 15:39 - 2017-04-01 00:12 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-03-29 15:39 - 2017-04-01 00:12 - 00000000 __SHD C:\ProgramData\Windows
AlternateDataStreams: C:\Users\299\Local Settings:wa [146]
AlternateDataStreams: C:\Users\299\AppData\Local:wa [146]
AlternateDataStreams: C:\Users\299\AppData\Local\Application Data:wa [146]
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Николай123]

Есть расхождения в названии файла AdwCleaner с тем что вы указали

Fixlog.txt

AdwCleanerS0.txt

[Sandor]

Есть расхождения в названии файла

Символ "x" означает - любая цифра.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[Николай123]

Их два почему то от одного времени.

AdwCleanerC0.txt

AdwCleanerS1.txt

[Sandor]

Следы адвари и вымогателя очищены. С расшифровкой помочь не сможем.

[Николай123]

Никогда, или решение будет позже?

[Sandor]

Следите за новостями в этой области. Не исключено, что в один прекрасный день решение и появится.