ransom.shade зашифровано no_more_ransom

[pro100passer]

Доброго времени суток, посоветуйте что делать, зашифровались файлы на рабочем компе , читал темы по данному вопросу везде пишут что подход к лечению индивидуальный по этому и создал данную тему

вопросов в принципе два:

1) можно ли вылечить компьютер

2) существует ли возможность дешифровки файлов

[regist]

 

 

можно ли вылечить компьютер

Порядок оформления запроса о помощи
 

[pro100passer]

приношу извинения за не верно составленный запрос

прикрепляю отчет созданный при помощи рекомендованного автологгера

так же отчеты сделанные при помощи рекомендованного в других топах, FRST

CollectionLog-2017.04.07-18.35.zip

Addition_07-04-2017 16.31.25.txt

FRST_07-04-2017 16.31.25.txt

[regist]

1) NeuStar, Inc. - это ваш провайдер?

2) Деинсталируйте

7-Zip 9.20 (x64 edition) [20130715]-->MsiExec.exe /I{23170F69-40C1-2702-0920-000001000000}
MiPony 2.0.2 [2015/01/09 09:19:09]-->C:\Program Files (x86)\MiPony\uninst.exe
Служба автоматического обновления программ [2017/03/09 14:44:50]-->C:\Users\1\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall
Амиго [20170309]-->"C:\Users\1\AppData\Local\Amigo\Application\54.0.2840.193\Installer\setup.exe" --uninstall


Если эти не ставили (не знакомы), то тоже

sizu kuru [2013/05/14 14:31:53]-->C:\Program Files (x86)\pipisku\sizu\Uninstall.exe
Uninstall Tool 2.9.6.5104 [20131203]-->"C:\Program Files (x86)\Uninstall Tool\unins000.exe"
Unity Web Player [2017/03/09 14:45:00]-->C:\Users\1\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser


3) Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 QuarantineFile('C:\Users\1\AppData\Local\Temp\cis5503.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805}" /F', 0, 15000, true);
 DelBHO('{a6c63b7f-2171-47fa-ab34-e64c4737169d}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

4) - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

5) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {D69E475D-A993-4943-BCAE-A7B289BC91C6} - Search The Web (phpnuke) - http://search.phpnuke.org/?lang=en&cid=457c4dfc&q={searchTerms}
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{D69E475D-A993-4943-BCAE-A7B289BC91C6} - Search The Web (phpnuke) - http://search.phpnuke.org/?lang=en&cid=457c4dfc&q={searchTerms}
O2-32 - BHO: DealPly Shopping - {a6c63b7f-2171-47fa-ab34-e64c4737169d} - C:\Program Files (x86)\DealPly\DealPlyIE.dll
O4 - HKCU\..\Run: [Mobile Partner] C:\Program Files (x86)\3G Wi-Fi роутер\3G Wi-Fi router (file missing)
O4 - MSConfig\startupreg: [Client Server Runtime Subsystem] C:\ProgramData\Windows\csrss.exe  (file missing) (HKLM) (2017/04/06)
O20-32 - Winlogon Notify: ScCertProp   - Invalid registry found
O22 - Task (Ready): DealPlyUpdate - C:\Program Files (x86)\DealPly\DealPlyUpdate.exe (file missing)

5) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

6)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

[pro100passer]

1) выход в сеть осуществляется по средству 3G модема Мегафон

2) указанные программы деинсталированны

3) файл карантина отправлен

(Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ)

KLAN-6076376551

4) строки пофиксены хотя двух не оказалось в скане

"O2-32 - BHO: DealPly Shopping - {a6c63b7f-2171-47fa-ab34-e64c4737169d} - C:\Program Files (x86)\DealPly\DealPlyIE.dll

 O4 - HKCU\..\Run: [Mobile Partner] C:\Program Files (x86)\3G Wi-Fi роутер\3G Wi-Fi router (file missing)"

5) AWDCleaner просканировал комп файл отчета прилагаю

так же прикрепляю лог файл от автологера

все операции были выполнены в порядке рекомендованном выше

 

CollectionLog-2017.04.08-11.19.zip

AdwCleanerS0.txt

[regist]

1) "Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [MailRuUpdater] C:\Users\1\AppData\Local\Mail.Ru\MailRuUpdater.exe 
O17 - HKLM\System\CSS\Services\Tcpip\..\{2BFCED0F-8279-4A39-98C1-492B89E68722}: NameServer = 156.154.70.25
O17 - HKLM\System\CSS\Services\Tcpip\..\{2BFCED0F-8279-4A39-98C1-492B89E68722}: NameServer = 156.154.71.25
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{2BFCED0F-8279-4A39-98C1-492B89E68722}: NameServer = 156.154.70.25
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{2BFCED0F-8279-4A39-98C1-492B89E68722}: NameServer = 156.154.71.25
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{2BFCED0F-8279-4A39-98C1-492B89E68722}: NameServer = 156.154.70.25
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{2BFCED0F-8279-4A39-98C1-492B89E68722}: NameServer = 156.154.71.25

2) - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

3) Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).

• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Изменено 8 апреля, 2017 пользователем regist

[pro100passer]

выполнил все рекомендации

в прикрепленных файлах авдклинера S1 до перезагрузки, S2 соответственно после, файл автологера так же создан после всех действий и перезагрузки

AdwCleanerS1.txt

AdwCleanerS2.txt

ClearLNK-09.04.2017_14-08.log

CollectionLog-2017.04.09-14.21.zip

[regist]

 

 

в прикрепленных файлах авдклинера S1 до перезагрузки, S2 соответственно после,

Нужен с буковой С а не S.

[pro100passer]

ошибся, высылаю нужный файл

AdwCleanerC0.txt

[regist]

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

 

C расшифровкой, увы, помочь не сможем.

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.