Вирус шифровальщик без смены расширения

[geront]

В один момент были зашифрованы все файлы с расширениями .doc .xls .pdf, тем не менее некоторые файлы все же открываются. Компьютер был проверен антивирусом DrWeb Cureit. Все зашифрованные файлы имеют дату изменения 17.02.2017.

CollectionLog-2017.04.07-14.14.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[geront]

Нежелательное ПО удалил, отчёт прикрепил

AdwCleanerS0.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[geront]

Сделал

AdwCleanerC2.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Файл C:\AdwCleaner\AdwCleaner[C0].txt тоже покажите.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
OPR StartupUrls: "hxxp://mail.ru/cnt/10445"
S3 TcHardWare; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCHW-x64.sys [X]
2017-04-07 15:35 - 2015-05-12 10:09 - 00000000 ____D C:\Users\Все пользователи\IObit
2017-04-07 15:35 - 2015-05-12 10:09 - 00000000 ____D C:\ProgramData\IObit
2017-02-17 07:59 - 2017-02-17 08:03 - 6045000 _____ () C:\Users\Александр\AppData\Roaming\3993665529
2017-02-17 08:03 - 2017-02-17 08:03 - 0001088 _____ () C:\Users\Александр\AppData\Roaming\RUAA0-4EXAO-RRTOG-ARTGT-XZXOT-XOGFA-TXOHO
2017-02-17 08:03 - 2017-02-17 08:03 - 0016715 _____ () C:\Users\Александр\AppData\Roaming\RUAA0-4EXAO-RRTOG-ARTGT-XZXOT-XOGFA-TXOHO.html
Task: {0C46731A-F4CF-49EE-A0EB-CD88450DB51D} - System32\Tasks\Uninstaller_SkipUac_Александр => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe 
Task: {1586637F-C845-47AB-A6BF-DCB9DB677CCB} - System32\Tasks\Driver Booster SkipUAC (Александр) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe 
Task: {901C0472-2D76-48E5-973E-8315FED75F2E} - \{78C1C249-AA85-4025-8987-46036FCF7BF9} -> No File <==== ATTENTION
FirewallRules: [{A9BEA5B1-88CA-4BF4-AD32-C42F0C25A5EE}] => (Allow) C:\Users\Александр\AppData\Local\Amigo\Application\amigo.exe
FirewallRules: [{F0F9B79B-84DE-4878-AFE6-6EC772C2169E}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{BD9F13DF-B609-4B88-8B7A-2D8E63712682}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{4666B065-7D01-4EA3-8070-BE3BA6515A25}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCTray.exe
FirewallRules: [{6AE95D24-BBE0-4AF8-82F0-9BA31AE71193}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCMgr.exe
FirewallRules: [{6AF1E94F-CBD0-43DA-B101-3DD1F073DD28}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCRTP.exe
FirewallRules: [{BD3891D4-B21B-46BF-B7D0-75B306228A43}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QMDL.exe
FirewallRules: [{AE828A7D-36F0-4804-9F64-002F4753563A}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\bugreport.exe
FirewallRules: [{57C26250-3FEF-41A3-9CAF-6B6744B1FE9F}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCFileOpen.exe
FirewallRules: [{7916D5FE-82FC-460E-915B-F79AE9BE499A}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCLeakScan.exe
FirewallRules: [{F808FE0B-13EA-43BB-BD1F-204FEEB098E6}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPConfig.exe
FirewallRules: [{5E787B7D-B68D-4979-B8AB-52C80D0218DA}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCSoftMgr.exe
FirewallRules: [{E498FCEB-A40D-4AB5-954B-8B3EB64D0EFA}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\plugins\QMNetMon\QQPCNetFlow.exe
FirewallRules: [{86D3DBD2-D6C7-4AEB-A39A-9C742F400C2C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCBTU.exe
FirewallRules: [{E9B6D62A-5DAB-4984-8B16-C11E491F6704}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCClinic.exe
FirewallRules: [{04819DA6-42E7-4429-A34C-BC96F9CC233A}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCLaunch.exe
FirewallRules: [{1351B4DF-D416-4441-985B-87AFCFDA7D5D}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QMUpdate\QQPCMgrUpdate.exe
FirewallRules: [{9D604BC9-0D17-468B-BB52-36DC7D371FD9}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCSoftGame.exe
FirewallRules: [{0058A1BD-512B-415C-BED2-3F5406AA4E6F}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCSysOptimize.exe
FirewallRules: [{FA3F8E7D-75D6-41AF-B67D-490DA81F889E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCUpdateAVLib.exe
FirewallRules: [{8B1E5376-40A7-4CE6-BACD-7C524358E3E1}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQRepair.exe
FirewallRules: [{CF11F303-030E-41E1-B738-8BBB718D44D2}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\Uninst.exe
FirewallRules: [{DA63D5D0-7FAE-4C48-A520-A35BB751A5C9}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCPatch.exe
FirewallRules: [{84A14887-42B1-4E37-8C05-7A37696BC9F7}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\TpkUpdate.exe
FirewallRules: [{0434340B-C703-4B1F-83DF-54F619190D16}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QMAccountProtection.exe
FirewallRules: [{59388CDE-14B9-45BB-B7FE-51851713DC1D}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QMAdBlock.exe
FirewallRules: [{AE2252F9-1C80-4137-99E6-496DD1E636F0}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{F72CF494-C381-443C-9397-E412D89F561F}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[geront]

Сделал

Fixlog.txt

AdwCleanerC0.txt

[Sandor]

Адварь и следы вымогателя очищены. С расшифровкой, увы, помочь не сможем.

 

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[geront]

С расшифровкой куда можно обратиться?

SecurityCheck.txt

[regist]

 

 

С расшифровкой куда можно обратиться?

Например, с заявлением  милицию, если соберетесь, то здесь подробная инструкция. А больше помочь нечем.

[Sandor]

Закройте уязвимые места:

------------------------------- [ Windows ] -------------------------------

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Автоматическое обновление отключено

--------------------------- [ OtherUtilities ] ----------------------------

Microsoft Silverlight v.4.0.60531.0 Внимание! Скачать обновления

--------------------------- [ AdobeProduction ] ---------------------------

Adobe AIR v.1.5.0.7220 Внимание! Скачать обновления

Adobe Reader 9.1 MUI v.9.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.

------------------------------- [ Browser ] -------------------------------

Opera Stable 43.0.2442.1144 v.43.0.2442.1144 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

----------------------------- [ EmailClient ] -----------------------------

Почта Windows Live v.14.0.8117.0416 Данная программа больше не поддерживается разработчиком.

---------------------------- [ UnwantedApps ] -----------------------------

MyWinLocker Suite v.3.1.212.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

MyWinLocker v.3.1.212.0 << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Kaspersky Internet Security 2013 - очень устаревшая версия. Обновите до актуальной.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО