Поймал шифровальщик. Расширение у зашифрованных файлов не изменено, в рабочих папках появился файл "a1c5a2cf65e4424b19.exe", в автозагрузке "x.vbs"

[WhoIsIt]

Добрый день.

 

Как уже описал в названии темы, поймал шифровальщик, в рабочих папках также появился файл "RUA20-23REO-TGETZ-TZTAX-FTHAY.html", его еще не открывал, по всей видимости там понятного содержания текст.

 

Ноутбук проверил KVRT и Cureit.

 

Прошу помощи.

CollectionLog-2017.04.14-18.47.zip

[Sandor]

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[WhoIsIt]

Сделал

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2017-04-14 10:24 - 2017-04-14 10:20 - 00167936 ____H C:\Users\Администратор\Desktop\a1c5a2cf65e4424b19.exe
2017-04-14 10:20 - 2017-04-14 10:24 - 00135688 _____ C:\Users\Администратор\AppData\Roaming\341898400
2017-04-14 10:20 - 2017-04-14 10:20 - 00016658 _____ C:\Users\Администратор\RUA20-23REO-TGETZ-TZTAX-FTHAY.html
2017-04-14 10:20 - 2017-04-14 10:20 - 00016658 _____ C:\Users\Администратор\AppData\Roaming\RUA20-23REO-TGETZ-TZTAX-FTHAY.html
2017-04-14 10:20 - 2017-04-14 10:20 - 00016658 _____ C:\RUA20-23REO-TGETZ-TZTAX-FTHAY.html
2017-04-14 10:30 - 2017-04-14 18:38 - 0000000 _____ () C:\Users\Администратор\AppData\Local\Temp\a1c5a2cf65e4424b19.exe
MSCONFIG\startupfolder: C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^RUA20-23REO-TGETZ-TZTAX-FTHAY.html => C:\Windows\pss\RUA20-23REO-TGETZ-TZTAX-FTHAY.html.Startup
MSCONFIG\startupfolder: C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^x.vbs => C:\Windows\pss\x.vbs.Startup
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[WhoIsIt]

Сделал

Fixlog.txt

[Sandor]

Это Spora. Увы, расшифровки пока нет.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[WhoIsIt]

Понял (

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Автоматическое обновление отключено

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 4.20 (64-bit) v.4.20.0 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.33 v.7.33.105 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------------- [ P2P ] ---------------------------------

µTorrent (64-bit) v.3.2.0 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 7 Update 5 (64-bit) v.7.0.50 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u121-windows-x64.exe).

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Shockwave Player 11.6 (64-bit) v.11.6.5.635 Внимание! Скачать обновления

Adobe Reader XI (11.0.03) - Russian v.11.0.03 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

------------------------------- [ Browser ] -------------------------------

Opera Stable 43.0.2442.1144 v.43.0.2442.1144 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

[WhoIsIt]

Понял, спасибо.