Файл "NO_MORE_RANSOM" (.no_more_ransom)

[Ruslan_Burhanov]

Каким то образом. сын поймал вирус и все файлы зашифрованы.

Создаю тему. по правилам написанным по https://forum.kasperskyclub.ru/index.php?showtopic=54081

 

CollectionLog-2017.04.12-20.50.zip

report1.log

README1.txt

report1.log

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SpyHunter 4

Unity Web Player

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Ruslan_Burhanov]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SpyHunter 4

Unity Web Player

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

# AdwCleaner v6.045 - Отчёт создан 16/04/2017 в 20:56:18

# Обновлено 28/03/2017 by Malwarebytes

# База данных : 2017-04-16.1 [Сервер]

# Операционная система : Windows 7 Home Premium Service Pack 1 (X64)

# Имя пользователя : Руслан - RUSLAN-PC

# Запущено из : D:\My Docs\Desktop\adwcleaner_6.045.exe

# Режим: Очистка

# Помощь : https://www.malwarebytes.com/support

 

 

 

***** [ Службы ] *****

 

[-] Служба удалена: CltMngSvc

[-] Служба удалена: TTNFD

 

 

***** [ Папки ] *****

 

[-] Папка удалена: C:\Users\Руслан\AppData\Local\Mobogenie

[-] Папка удалена: C:\Users\Руслан\AppData\Local\Nichrome

[-] Папка удалена: C:\Users\Руслан\AppData\Local\SearchProtect

[-] Папка удалена: C:\Users\Руслан\AppData\Roaming\OpenCandy

[#] Папка удалена при перезагрузке: C:\Users\Руслан\AppData\Roaming\zona

[#] Папка удалена при перезагрузке: C:\Users\Руслан\AppData\Roaming\Zona

[-] Папка удалена: D:\My Docs\Mobogenie

 

 

***** [ Файлы ] *****

 

[-] Файл удалён: C:\Users\Руслан\daemonprocess.txt

[-] Файл удалён: C:\Users\Руслан\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_oelpkepjlgmehajehfeicfbjdiobdkfj_0.localstorage

 

 

***** [ DLL ] *****

 

 

 

***** [ WMI ] *****

 

 

 

***** [ Ярлыки ] *****

 

 

 

***** [ Запланированные задания ] *****

[Sandor]

Пожалуйста, не вставляйте содержимое, а прикрепляйте к сообщению отчет.

 

Далее:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Изменено 17 апреля, 2017 пользователем Sandor

[Ruslan_Burhanov]

Пожалуйста, не вставляйте содержимое, а прикрепляйте к сообщению отчет.

 

Далее:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

спасибо!

FRST.txt

Addition.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3790566564-1535497955-2226652236-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-3790566564-1535497955-2226652236-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2017-04-09 18:31 - 2017-04-16 19:49 - 00000000 __SHD C:\Users\Все пользователи\services
2017-04-09 18:31 - 2017-04-16 19:49 - 00000000 __SHD C:\ProgramData\services
2017-04-09 18:30 - 2017-04-12 19:51 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2017-04-09 18:30 - 2017-04-12 19:51 - 00000000 __SHD C:\ProgramData\Csrss
2017-04-09 18:30 - 2017-04-09 18:30 - 05292054 _____ C:\Users\Руслан\AppData\Roaming\C957BD48C957BD48.bmp
2017-04-06 14:04 - 2017-04-12 20:10 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-04-06 14:04 - 2017-04-12 20:10 - 00000000 __SHD C:\ProgramData\Windows
2016-10-20 09:19 - 2016-10-20 09:19 - 0157480 _____ () C:\Users\Руслан\AppData\Local\Temp\utt8B23.tmp.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Ruslan_Burhanov]

вроде как всё сделал правильно

Fixlog.txt

[Sandor]

Адварь и следы вымогателя очищены. С расшифровкой помочь не сможем.

[Ruslan_Burhanov]

Спасибо вам большое и на этом!

значить все зашифрованные файлы можно просто удалить?

[regist]

 

 

значить все зашифрованные файлы можно просто удалить?

Если там нет ничего ценного, то удалите. Если есть, то лучше сохранить. Вдруг в будущем появится возможность расшифровки.