Spora шифрование

[psv11]

Зашифрованы текстовые файлы и файлы изображений.

Вирус открыли из почты Антивирус kaspersky endpoint security 10 работал и пропустил.

Пожалуйста помогите расшифровать важную информацию.

CollectionLog-2017.04.12-17.19.zip

[regist]

1)

Java(TM) 6 Update 32 [20140915]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216032FF}
SpyHunter 4 [2017/04/12 16:26:30]-->C:\Users\Администратор\AppData\Roaming\Enigma Software Group\sh_installer.exe -r sh

деинсталируйте.

 

2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ClearQuarantine;
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Memory Diagnostics Tool.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Security Configuration Management.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Server Manager.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Share and Storage Management.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\System Configuration.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Windows Server Backup.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Terminal Services\Terminal Services Configuration.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Maintenance\Problem Reports and Solutions.lnk', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Terminal Services\TS RemoteApp Manager.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Print Management.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Terminal Services\TS Licensing Manager.lnk', '');
 QuarantineFile('C:\Users\2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\3\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\6\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\6\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\4\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\4\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\5\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\8\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\8\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\10\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\10\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\11\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\9\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\9\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\8\Desktop\1с.lnk', '');
 QuarantineFile('C:\Users\8.SER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\8.SER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\10.SER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\10.SER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\9.SER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\9.SER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\11.SER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\11.SER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
 

 

3) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[psv11]

Все выполнил по инструкции.

Addition.txt

FRST.txt

Shortcut.txt

[regist]

@psv11, пожалуйста, нажмите Win + R, введите cmd и нажмите ОК
 В открывшееся окно введите
 where narrator
 и нажмите ENTER.
 Сделайте скриншот окна и выложите в своём сообщении.

[psv11]

Скриншот окна

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
Hosts:
Tcpip\..\Interfaces\{BC4A7CC4-912F-4CD6-825C-8F0F993A48B4}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => No File
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

[regist]

+

 - сделайте лог Check Browsers' LNK by Dragokas & regist. Заархивируйте его и прикрепите к сообщению.
 

[psv11]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
Hosts:
Tcpip\..\Interfaces\{BC4A7CC4-912F-4CD6-825C-8F0F993A48B4}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => No File
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

 

 

Как запустить FRST через среду восстановления на Windows server 2008?

[regist]

 

 

Как запустить FRST через среду восстановления на Windows server 2008?

там же внизу ссылка на руководство и в нём вторым постом ответ на ваш вопрос https://safezone.cc/threads/kak-vypolnit-skript-v-farbar-recovery-scan-tool.17760/#post-197884

А в чём проблема выполнить скрипт из обычного режима, как до этого вы делали логи?

[psv11]

Выполнил

Fixlog.txt

[regist]

 

 

+ - сделайте лог Check Browsers' LNK by Dragokas & regist. Заархивируйте его и прикрепите к сообщению.

где?

[psv11]

Исправил

Check_Browsers_LNK.rar

[regist]

С расшифровкой, увы, помочь не сможем.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[psv11]

Спасибо.

[shim41]

все файлы переименовало что можно сделать чтобы востановить