@WanaDecryptor@.exe зашифрованы файлы

[lammer]

Принесли системник. Тоже самое, что и у многих.

лог 
CollectionLog-2017.05.12-18.36.zip

[regist]

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

 

2) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 

3)

Менеджер браузеров [20160508]-->MsiExec.exe /X{691BB354-E7AF-4447-ADE2-549A86613965}

если не используете деинсталируйте

 

4) Программы/расширения от Mail.ru используете?

А также расширения от Яндекс сами ставили (используете)?

 

5) "Пофиксите" в HijackThis:

O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - HKU\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil32_11_9_900_152_Plugin.exe -update plugin (file missing)
O4 - MSConfig\startupreg: [AVG_UI] C:\Program Files\AVG\AVG2014\avgui.exe /TRAYONLY (file missing) (HKLM) (2015/01/13)
O4 - MSConfig\startupreg: [Browser Manager] C:\Users\Olya\AppData\Local\Yandex\BrowserManager\BrowserManager.exe  (file missing) (HKCU) (2016/05/08)
O4 - MSConfig\startupreg: [Google Update] C:\Users\Olya\AppData\Local\Google\Update\GoogleUpdate.exe /c (file missing) (HKCU) (2016/05/08)
O4 - MSConfig\startupreg: [VKSaver] C:\ProgramData\VKSaver\VKSaver.exe  (file missing) (HKLM) (2016/05/08)
O4 - MSConfig\startupreg: [YandexElements] C:\Users\Olya\AppData\Local\Yandex\Elements\elements.exe\8.7.0.3110\elements.exe /auto (file missing) (HKCU) (2015/01/13)
O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task (Ready): Driver Booster SkipUAC (Olya) - C:\Program Files\IObit\Driver Booster\DriverBooster.exe /skipuac (file missing)
O22 - Task (Ready): MailRuUpdater - C:\Users\Olya\AppData\Local\Mail.Ru\MailRuUpdater.exe --check (file missing)
O22 - Task (Ready): \Microsoft\Windows\PMS\PMS - C:\Windows\System32\hale.exe /nolog (file missing)

 

6)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

[lammer]

http://virusinfo.info/virusdetector/report.php?md5=2747C8BC2F678DF490FC73F396A7D7A2

 

ClearLNK-12.05.2017_21-01.log

 

HiJackThis.log

 

AdwCleanerS0.txt

ClearLNK-12.05.2017_21-01.log

Изменено 12 мая, 2017 пользователем lammer

[regist]

Пункты 4 и 5 не ответили.

 

и  Unity Web Player если сами не ставили, тоже деинсталировать.

[lammer]

Пункты 4 и 5 не ответили.

 

и  Unity Web Player если сами не ставили, тоже деинсталировать.

вроде поудалял. комп чужой, поэтому не все файлы знаю лично)

Спасибо за помощь, пока все нормально, поставил последние обновления винды, теперь жду дешифратор для файлов.

[regist]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan" ("Сканировать").
• По окончанию сканирования снимите галочки со следующих строк:
  

  Найдена папка: C:\Users\Olya\AppData\LocalLow\IObit\Advanced SystemCare
  Найдена папка: C:\Users\Olya\AppData\Roaming\IObit\Advanced SystemCare
  Найдена папка: C:\ProgramData\Application Data\IObit\ASCDownloader
  Найдена папка: C:\ProgramData\Application Data\IObit\Advanced SystemCare
  Найдена папка: C:\Program Files\Common Files\IObit\Advanced SystemCare
  Найдена папка: C:\Windows\system32\config\systemprofile\AppData\Roaming\IObit\Advanced SystemCare
  Найден ключ: HKLM\SOFTWARE\IOBIT\ASC

• Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 

[lammer]

AdwCleanerC0.txt

Не мелочился, удалил все))) Тем более, что хозяева компа все равно без понятия, как пользоваться АдванседСистем Каре, он у них "случайно" когда-то поставился, галки вовремя не поубирали
Большое спасибо за своевременную и квалифицированную помощь.

Изменено 13 мая, 2017 пользователем lammer

[regist]

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

 

 

Обновление поставьте http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

И скажите, чтобы в будущем не забывали своевременно обновляться.

 

С расшифровкой пока помочь нечем. Пусть забекапят важные файлы, вдруг в будущем появится.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Изменено 13 мая, 2017 пользователем regist

[lammer]

Addition_13-05-2017 15.19.11.txtFRST_13-05-2017 15.19.11.txtShortcut_13-05-2017 15.19.11.txt

[regist]

Не в курсе IObit Uninstaller они сами ставили? А то похоже он тоже 12-го числа установился. Лично я ничего от компании IObit использовать не советую.

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-3872126571-2086026212-1647635077-1000\...\MountPoints2: {b8dfcea9-0d96-11e4-85bb-485b39f3eecb} - J:\LGAutoRun.exe
  GroupPolicy: Restriction ? <======= ATTENTION
  GroupPolicy\User: Restriction ? <======= ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  CHR HomePage: Profile 1 -> mail.ru/cnt/11956636?rciguc__PARAM__
  CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Olya\AppData\Local\Google\Chrome\User Data\Default\Extensions\pnooffjhclkocplopffdbcdghmiffhji [2017-05-12]
  CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Olya\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\gndaciceccgapjhpniecknjlmmlanaem [2017-05-12]
  CHR Extension: (Mail.Ru) - C:\Users\Olya\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\lanabbpahpjnaljebnpgkjemcbkepiak [2017-05-12]
  2017-05-12 18:52 - 2015-09-06 14:18 - 00000000 ____D C:\ProgramData\ProductData
  2017-05-12 17:30 - 2015-09-06 14:20 - 00000000 ____D C:\Users\Olya\AppData\Roaming\ProductData
  FirewallRules: [{9918F2B7-4AD1-4B08-A10E-461BE84EA7FB}] => (Allow) C:\Program Files\IObit\Driver Booster\DBDownloader.exe
  FirewallRules: [{FAFE9B5E-AD44-4BCE-9987-ABFEFB262B8C}] => (Allow) C:\Program Files\IObit\Driver Booster\DBDownloader.exe
  FirewallRules: [{ACFDDFEC-5CCE-451E-9D06-9E124D890E6D}] => (Allow) C:\Program Files\IObit\Driver Booster\AutoUpdate.exe
  FirewallRules: [{EE0C0068-9A5C-4C9A-9B19-D9A428CFB03E}] => (Allow) C:\Program Files\IObit\Driver Booster\AutoUpdate.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.[/code]
 

[lammer]

Fixlog_13-05-2017 16.22.46.txt

Iobit это софт, который никто не ставит, но у всех он есть)))
удалил

 

[regist]

 

 

Iobit это софт, который никто не ставит, но у всех он есть)))

тогда дочистим его и загругляемся.

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  2017-05-12 19:01 - 2015-09-06 14:18 - 00000000 ____D C:\Users\Все пользователи\IObit
  2017-05-12 19:01 - 2015-09-06 14:18 - 00000000 ____D C:\Users\Olya\AppData\Roaming\IObit
  2017-05-12 19:01 - 2015-09-06 14:18 - 00000000 ____D C:\Users\Olya\AppData\LocalLow\IObit
  2017-05-12 19:01 - 2015-09-06 14:18 - 00000000 ____D C:\ProgramData\IObit
  2017-05-12 19:01 - 2015-09-06 14:18 - 00000000 ____D C:\Program Files\Common Files\IObit
  И2017-05-12 17:30 - 2015-10-30 19:39 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Uninstaller
  FirewallRules: [{A71D8CF1-7214-4987-B67B-8CF60486D5E4}] => (Allow) C:\Program Files\IObit\Driver Booster\DriverBooster.exe
  FirewallRules: [{D03A64A7-7E4A-48FD-98D6-051D35E2B14F}] => (Allow) C:\Program Files\IObit\Driver Booster\DriverBooster.exe
  FirewallRules: [{9918F2B7-4AD1-4B08-A10E-461BE84EA7FB}] => (Allow) C:\Program Files\IObit\Driver Booster\DBDownloader.exe
  FirewallRules: [{FAFE9B5E-AD44-4BCE-9987-ABFEFB262B8C}] => (Allow) C:\Program Files\IObit\Driver Booster\DBDownloader.exe
  FirewallRules: [{ACFDDFEC-5CCE-451E-9D06-9E124D890E6D}] => (Allow) C:\Program Files\IObit\Driver Booster\AutoUpdate.exe
  FirewallRules: [{EE0C0068-9A5C-4C9A-9B19-D9A428CFB03E}] => (Allow) C:\Program Files\IObit\Driver Booster\AutoUpdate.exe
  
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.[/code]
 

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

 

Больше помочь нечем.

[lammer]

Fixlog_13-05-2017 18.09.22.txt