зашифровано NO_MORE_RANSOM

[Stg]

Добрый день, спасите пожалуйста!

Пришло на почту письмо от "Сбербанка" с вложенным архивом, попыталась посмотреть, что в архиве, только потом поняла, что жестоко лажанулась и теперь в полной попе по самые уши((( Пожалуйста, ПОМОГИТЕ!!!

Все файлы зашифрованы NO_MORE_RANSOM. Как восстановить файлы и отчистить ПК от вируса не представляю. ОС Windows 7 - 64

[kmscom]

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

после этого ждите ответа Консультантов на вопрос

 

 

Как восстановить файлы и отчистить ПК от вируса

[Stg]

Да, конечно! Извините! Я в панике, не знаю как быть(

Могу прислать архив с вирусным скриптом(

CollectionLog-2017.04.08-14.07.zip

Addition.txt

FRST.txt

Изменено 8 апреля, 2017 пользователем Stg

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files\common files\catalyst sdk aol\svmpid.exe');
 QuarantineFile('c:\program files\common files\catalyst sdk aol\svmpid.exe', '');
 QuarantineFileF('c:\program files\common files\catalyst sdk aol\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('c:\program files\common files\catalyst sdk aol\svmpid.exe', '32');
 QuarantineFileF('C:\ProgramData\Csrss', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\ProgramData\Csrss', '*', true);
 DeleteDirectory('C:\ProgramData\Csrss');
 QuarantineFileF('C:\ProgramData\Windows', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\ProgramData\Windows', '*', true);
 DeleteDirectory('C:\ProgramData\Windows');
 QuarantineFileF('C:\ProgramData\Drivers', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\ProgramData\Drivers', '*', true);
 DeleteDirectory('C:\ProgramData\Drivers');
 QuarantineFileF('C:\ProgramData\services', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\ProgramData\services', '*', true);
 DeleteDirectory('C:\ProgramData\services');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

И  не надо бегать по форумам и плодить дубли тем. Лечась на разных ресурсах одновременно вы только усугубите своё положение.

+ добавлю

 

Муж пришел и обнаружил "письмо" на рабочем столе. Сделал откат системы.

Значит состояние системы на которое ваш муж откатывает заражено! У вас активный майнер, скажите об этом мужу, пусть после лечения делает свежий образ системы.

Изменено 8 апреля, 2017 пользователем regist

[Stg]

Благодарю за ответ! Извините, что бегаю по форумам( Первый раз так глупо вляпалась( 

Надеюсь, что сделала все как вы написали, т.е. правильно.

Результата пока не вижу, может все же не все правильно сделала(

quarantine.zip - файла не нашла 

ClearLNK-08.04.2017_19-10.log

Addition.txt

FRST.txt

CollectionLog-2017.04.08-19.31.zip

Изменено 8 апреля, 2017 пользователем Stg

[regist]

Где было написано про FRST, что вы сделали и прикрепили его логи? Делайте, только то что просят.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\ProgramData\services', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\Drivers', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\Csrss', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 ExecuteFile('schtasks.exe', '/delete /TN "\AVAST Software\Avast settings backup" /F', 0, 15000, true);
 DeleteFileMask('C:\ProgramData\services', '*', true);
 DeleteFileMask('C:\ProgramData\Drivers', '*', true);
 DeleteFileMask('C:\ProgramData\Csrss', '*', true);
 DeleteDirectory('C:\ProgramData\services');
 DeleteDirectory('C:\ProgramData\Drivers');
 DeleteDirectory('C:\ProgramData\Csrss');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

[Stg]

 [KLAN-6077846116] 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

Сейчас все правильно сделала?

CollectionLog-2017.04.08-21.50.zip

[regist]

С расшифровкой, увы, помочь не сможем.

 

 

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Stg]

Неужели совсем ничего нельзя сделать? 

Благодарю за помощь!

[regist]

 

 

Неужели совсем ничего нельзя сделать?

Можно написать заявление в полицию, если их поймают, то скорее всего будет возможно и расшифровка. Подробней как писать заявление можете почитать здесь: Мой компьютер заражен вирусом, я хочу обратиться в полицию

[Stg]

Благодарю! Впредь буду внимательнее!