Шифровальщик ONION

[dog5542]

Добрый день. У моей соседки приключилась беда, поймала она этот самый вирус с подписью onion. Попал он к ней еще 11 мая, по ее словам ей пришло письмо из США, она его открыла и после этого у нее перестали работать все браузеры. Ноут она мне принесла только вчера, Вчера я и выяснил что ноут был подвержен атаке вируса-шифровальщика OPION. Ценного на ноуте особо ничего не было, кроме архива фотографий за последние лет 5. Самостоятельно я так и не смог разобраться как дешифровать все ее фотографии и возможно ли это вообще, поэтому и решил обратится на этот форум. Касперским ноут проверил, лог сделал и к этому сообщению прикрепляю. Надеюсь на любую помощь в раскодировании фотоархива. P.S. Если на данный момент нет способов раскодировать файлы, то можно ли их как-то сохранить на будущее и надеяться что рано или поздно будет придуман способ который позволит декодировать файлы подверженные данному вирусу.

CollectionLog-2017.05.22-16.02.zip

Изменено 22 мая, 2017 пользователем dog5542

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\content defender\nss\certutil.exe','');
 QuarantineFile('C:\Program Files\content defender\nfregdrv.exe','');
 QuarantineFile('C:\Program Files\content defender\libeay32.dll','');
 QuarantineFile('C:\Program Files\content defender\import_root_cert.exe','');
 QuarantineFile('C:\Program Files\content defender\contentdefenderps.dll','');
 QuarantineFile('C:\Program Files\content defender\condefclean.exe','');
 QuarantineFile('C:\Windows\Fonts\wuauser.exe0','');
 DeleteFile('C:\Windows\Fonts\wuauser.exe0','32');
 DeleteFile('C:\Program Files\content defender\condefclean.exe','32');
 DeleteFile('C:\Program Files\content defender\contentdefenderps.dll','32');
 DeleteFile('C:\Program Files\content defender\import_root_cert.exe','32');
 DeleteFile('C:\Program Files\content defender\libeay32.dll','32');
 DeleteFile('C:\Program Files\content defender\nfregdrv.exe','32');
 DeleteFile('C:\Program Files\content defender\nss\certutil.exe','32');
 DeleteFile('C:\Program Files\content defender\nss\mozcrt19.dll','32');
 DeleteFile('C:\Program Files\content defender\nss\nspr4.dll','32');
 DeleteFile('C:\Program Files\content defender\nss\nss3.dll','32');
 DeleteFile('C:\Program Files\content defender\nss\plc4.dll','32');
 DeleteFile('C:\Program Files\content defender\nss\plds4.dll','32');
 DeleteFile('C:\Program Files\content defender\nss\smime3.dll','32');
 DeleteFile('C:\Program Files\content defender\nss\softokn3.dll','32');
 DeleteFile('C:\Program Files\content defender\ssleay32.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[dog5542]

Спасибо. Все сделал и отправил. Жду ответа. Ответ выложу сюда.

KLAN-6283110451

Пришёл ответ.

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

certutil.exe

libeay32.dll

import_root_cert.exe

 

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:

nfregdrv.exe - not-a-virus:NetTool.Win32.NetFilter.h

contentdefenderps.dll - not-a-virus:NetTool.Win32.NetFilter.h

condefclean.exe - not-a-virus:NetTool.Win32.NetFilter.h

 

В следующих файлах обнаружен вредоносный код:

wuauser.exe0 - Trojan.Win32.Miner.azg

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

[thyrex]

До конца дочитывайте

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[dog5542]

Не дочитал... Дико дико извиняюсь... Вечером сделаю лог новый. Я на работе, а ноутбук на дома.

[dog5542]

Доброй ночи. Вот новый лог.

CollectionLog-2017.05.23-23.15.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[dog5542]

Все сделал и вот результат:

Desktop.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Run: [ZaxarGameBrowser] => "C:\Program Files\Zaxar\ZaxarGameBrowser.exe" -s
HKLM\...\Run: [ZaxarLoader] => "C:\Program Files\Zaxar\ZaxarLoader.exe" /verysilent
HKLM\...\Run: [Timestasks] => C:\ProgramData\TimeTasks\timetasks.exe"
HKU\S-1-5-21-1903295718-3488657593-3376769418-1000\...\Run: [amigo] => C:\Users\Оля\AppData\Local\Amigo\Application\amigo.exe [930280 2017-04-14] (Mail.Ru)
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-1903295718-3488657593-3376769418-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-1903295718-3488657593-3376769418-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM\...\Chrome\Extension: [hakdifolhalapjijoafobooafbilfakh] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\ChromeExt\online_banking_chrome.crx <not found>
CHR HKLM\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pjldcfjmnllhmgjclecdnfampinooman] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\ChromeExt\ab.crx <not found>
2017-05-11 15:34 - 2015-12-20 22:37 - 00000000 ____D C:\Users\Оля\AppData\Roaming\Searcher
2017-05-11 15:26 - 2015-12-20 22:37 - 00000000 ____D C:\Users\Оля\AppData\Local\eDGfrDNwTDY
2017-05-11 15:26 - 2015-12-20 22:37 - 00000000 ____D C:\Users\Оля\AppData\Local\cache
2017-05-11 15:23 - 2016-02-24 21:43 - 00000000 ____D C:\Users\Все пользователи\tWoCoSPe
2017-05-11 15:23 - 2016-02-24 21:43 - 00000000 ____D C:\ProgramData\tWoCoSPe
2017-05-11 15:23 - 2016-02-22 21:39 - 00000000 ____D C:\Users\Все пользователи\pNBFoQooLJmQOxQ
2017-05-11 15:23 - 2016-02-22 21:39 - 00000000 ____D C:\ProgramData\pNBFoQooLJmQOxQ
2017-05-11 15:23 - 2016-02-21 17:26 - 00000000 ____D C:\Users\Все пользователи\ySCDep
2017-05-11 15:23 - 2016-02-21 17:26 - 00000000 ____D C:\ProgramData\ySCDep
2017-05-11 15:23 - 2016-02-20 21:24 - 00000000 ____D C:\Users\Все пользователи\oCAhSiEdaS
2017-05-11 15:23 - 2016-02-20 21:24 - 00000000 ____D C:\ProgramData\oCAhSiEdaS
2017-05-11 15:23 - 2016-02-19 20:49 - 00000000 ____D C:\Users\Все пользователи\XZeajBTUlS
2017-05-11 15:23 - 2016-02-19 20:49 - 00000000 ____D C:\ProgramData\XZeajBTUlS
2017-05-11 15:23 - 2016-02-17 21:56 - 00000000 ____D C:\Users\Все пользователи\oBVtnMVYxVuGxh
2017-05-11 15:23 - 2016-02-17 21:56 - 00000000 ____D C:\ProgramData\oBVtnMVYxVuGxh
2017-05-11 15:23 - 2016-02-16 19:21 - 00000000 ____D C:\Users\Все пользователи\YATSkONbvAV
2017-05-11 15:23 - 2016-02-16 19:21 - 00000000 ____D C:\Users\Все пользователи\UjbGYOwJejPyFd
2017-05-11 15:23 - 2016-02-16 19:21 - 00000000 ____D C:\ProgramData\YATSkONbvAV
2017-05-11 15:23 - 2016-02-16 19:21 - 00000000 ____D C:\ProgramData\UjbGYOwJejPyFd
2017-05-11 15:23 - 2016-02-15 02:45 - 00000000 ____D C:\Users\Все пользователи\yfShmVmU
2017-05-11 15:23 - 2016-02-15 02:45 - 00000000 ____D C:\ProgramData\yfShmVmU
2017-05-11 15:23 - 2016-02-13 16:22 - 00000000 ____D C:\Users\Все пользователи\STwOmmRNEQfg
2017-05-11 15:23 - 2016-02-13 16:22 - 00000000 ____D C:\ProgramData\STwOmmRNEQfg
2017-05-11 15:23 - 2016-02-11 19:02 - 00000000 ____D C:\Users\Все пользователи\uQgmtcsEicVJ
2017-05-11 15:23 - 2016-02-11 19:02 - 00000000 ____D C:\ProgramData\uQgmtcsEicVJ
2017-05-11 15:23 - 2016-02-08 17:39 - 00000000 ____D C:\Users\Все пользователи\zfUDJH
2017-05-11 15:23 - 2016-02-08 17:39 - 00000000 ____D C:\ProgramData\zfUDJH
2017-05-11 15:23 - 2016-02-02 21:15 - 00000000 ____D C:\Users\Все пользователи\PoWQfAnx
2017-05-11 15:23 - 2016-02-02 21:15 - 00000000 ____D C:\Users\Все пользователи\PLafBn
2017-05-11 15:23 - 2016-02-02 21:15 - 00000000 ____D C:\ProgramData\PoWQfAnx
2017-05-11 15:23 - 2016-02-02 21:15 - 00000000 ____D C:\ProgramData\PLafBn
2017-05-11 15:23 - 2016-02-01 19:06 - 00000000 ____D C:\Users\Все пользователи\RGNkrQEz
2017-05-11 15:23 - 2016-02-01 19:06 - 00000000 ____D C:\ProgramData\RGNkrQEz
2017-05-11 15:23 - 2016-01-30 22:15 - 00000000 ____D C:\Users\Все пользователи\wAJauyTUXWcA
2017-05-11 15:23 - 2016-01-30 22:15 - 00000000 ____D C:\Users\Все пользователи\VDChPEbJfG
2017-05-11 15:23 - 2016-01-30 22:15 - 00000000 ____D C:\ProgramData\wAJauyTUXWcA
2017-05-11 15:23 - 2016-01-30 22:15 - 00000000 ____D C:\ProgramData\VDChPEbJfG
2017-05-11 15:23 - 2016-01-29 22:29 - 00000000 ____D C:\Users\Все пользователи\XpWpWmOVA
2017-05-11 15:23 - 2016-01-29 22:29 - 00000000 ____D C:\ProgramData\XpWpWmOVA
2017-05-11 15:23 - 2016-01-29 13:03 - 00000000 ____D C:\Users\Все пользователи\vDSmaMXedNO
2017-05-11 15:23 - 2016-01-29 13:03 - 00000000 ____D C:\ProgramData\vDSmaMXedNO
2017-05-11 15:23 - 2016-01-27 15:56 - 00000000 ____D C:\Users\Все пользователи\wkOqDhFLiFuuW
2017-05-11 15:23 - 2016-01-27 15:56 - 00000000 ____D C:\ProgramData\wkOqDhFLiFuuW
2017-05-11 15:23 - 2016-01-24 21:52 - 00000000 ____D C:\Users\Все пользователи\zEoAhS
2017-05-11 15:23 - 2016-01-24 21:52 - 00000000 ____D C:\ProgramData\zEoAhS
2017-05-11 15:23 - 2016-01-19 22:44 - 00000000 ____D C:\Users\Все пользователи\YhnLqMviOahJX
2017-05-11 15:23 - 2016-01-19 22:44 - 00000000 ____D C:\ProgramData\YhnLqMviOahJX
2017-05-11 15:23 - 2016-01-17 15:08 - 00000000 ____D C:\Users\Все пользователи\rEsoPL
2017-05-11 15:23 - 2016-01-17 15:08 - 00000000 ____D C:\ProgramData\rEsoPL
2017-05-11 15:23 - 2016-01-16 12:42 - 00000000 ____D C:\Users\Все пользователи\ueCwidM
2017-05-11 15:23 - 2016-01-16 12:42 - 00000000 ____D C:\ProgramData\ueCwidM
2017-05-11 15:23 - 2016-01-14 23:03 - 00000000 ____D C:\Users\Все пользователи\oCcRxoatZIuU
2017-05-11 15:23 - 2016-01-14 23:03 - 00000000 ____D C:\ProgramData\oCcRxoatZIuU
2017-05-11 15:23 - 2016-01-13 16:50 - 00000000 ____D C:\Users\Все пользователи\WkrKQdF
2017-05-11 15:23 - 2016-01-13 16:50 - 00000000 ____D C:\Users\Все пользователи\wFeXWrnaBKKasP
2017-05-11 15:23 - 2016-01-13 16:50 - 00000000 ____D C:\ProgramData\WkrKQdF
2017-05-11 15:23 - 2016-01-13 16:50 - 00000000 ____D C:\ProgramData\wFeXWrnaBKKasP
2017-05-11 15:23 - 2016-01-12 21:39 - 00000000 ____D C:\Users\Все пользователи\SGmUAIb
2017-05-11 15:23 - 2016-01-12 21:39 - 00000000 ____D C:\ProgramData\SGmUAIb
2017-05-11 15:23 - 2016-01-10 23:16 - 00000000 ____D C:\Users\Все пользователи\pBJqqRgPbOSOm
2017-05-11 15:23 - 2016-01-10 23:16 - 00000000 ____D C:\ProgramData\pBJqqRgPbOSOm
2017-05-11 15:23 - 2015-12-29 20:01 - 00000000 ____D C:\Users\Все пользователи\pjdfWQMoqWG
2017-05-11 15:23 - 2015-12-29 20:01 - 00000000 ____D C:\ProgramData\pjdfWQMoqWG
2017-05-11 15:23 - 2015-12-28 20:01 - 00000000 ____D C:\Users\Все пользователи\rrKDeGKPjbfB
2017-05-11 15:23 - 2015-12-28 20:01 - 00000000 ____D C:\ProgramData\rrKDeGKPjbfB
2017-05-11 15:23 - 2015-12-27 20:35 - 00000000 ____D C:\Users\Все пользователи\wQZKwKtDtpzxpiq
2017-05-11 15:23 - 2015-12-27 20:35 - 00000000 ____D C:\ProgramData\wQZKwKtDtpzxpiq
2017-05-11 15:23 - 2015-12-26 14:54 - 00000000 ____D C:\Users\Все пользователи\RRLuRtasfhO
2017-05-11 15:23 - 2015-12-26 14:54 - 00000000 ____D C:\Users\Все пользователи\qySMjqOt
2017-05-11 15:23 - 2015-12-26 14:54 - 00000000 ____D C:\ProgramData\RRLuRtasfhO
2017-05-11 15:23 - 2015-12-26 14:54 - 00000000 ____D C:\ProgramData\qySMjqOt
2017-05-11 15:23 - 2015-12-24 22:51 - 00000000 ____D C:\Users\Все пользователи\ZSVOktTrdgN
2017-05-11 15:23 - 2015-12-24 22:51 - 00000000 ____D C:\Users\Все пользователи\pNOyNCQhIwGJ
2017-05-11 15:23 - 2015-12-24 22:51 - 00000000 ____D C:\ProgramData\ZSVOktTrdgN
2017-05-11 15:23 - 2015-12-24 22:51 - 00000000 ____D C:\ProgramData\pNOyNCQhIwGJ
2017-05-11 15:23 - 2015-12-23 09:25 - 00000000 ____D C:\Users\Все пользователи\wymxClWLJsFtTI
2017-05-11 15:23 - 2015-12-23 09:25 - 00000000 ____D C:\ProgramData\wymxClWLJsFtTI
2017-05-11 15:23 - 2015-12-20 22:37 - 00000000 ____D C:\Users\Все пользователи\ZPIIKJyiGXnthX
2017-05-11 15:23 - 2015-12-20 22:37 - 00000000 ____D C:\ProgramData\ZPIIKJyiGXnthX
2017-05-11 15:22 - 2016-02-24 21:43 - 00000000 ____D C:\Users\Все пользователи\MEAUtSdnzLsTl
2017-05-11 15:22 - 2016-02-24 21:43 - 00000000 ____D C:\ProgramData\MEAUtSdnzLsTl
2017-05-11 15:22 - 2016-02-22 21:39 - 00000000 ____D C:\Users\Все пользователи\EgAGAPTyOiy
2017-05-11 15:22 - 2016-02-22 21:39 - 00000000 ____D C:\ProgramData\EgAGAPTyOiy
2017-05-11 15:22 - 2016-02-15 02:45 - 00000000 ____D C:\Users\Все пользователи\fdsgDjpso
2017-05-11 15:22 - 2016-02-15 02:45 - 00000000 ____D C:\ProgramData\fdsgDjpso
2017-05-11 15:22 - 2016-02-13 16:22 - 00000000 ____D C:\Users\Все пользователи\dKuxywoTwXkU
2017-05-11 15:22 - 2016-02-13 16:22 - 00000000 ____D C:\ProgramData\dKuxywoTwXkU
2017-05-11 15:22 - 2016-02-09 23:37 - 00000000 ____D C:\Users\Все пользователи\ksJewnmt
2017-05-11 15:22 - 2016-02-09 23:37 - 00000000 ____D C:\ProgramData\ksJewnmt
2017-05-11 15:22 - 2016-02-09 23:36 - 00000000 ____D C:\Users\Все пользователи\eWjaZRxw
2017-05-11 15:22 - 2016-02-09 23:36 - 00000000 ____D C:\ProgramData\eWjaZRxw
2017-05-11 15:22 - 2016-02-08 17:39 - 00000000 ____D C:\Users\Все пользователи\GuBVLcW
2017-05-11 15:22 - 2016-02-08 17:39 - 00000000 ____D C:\ProgramData\GuBVLcW
2017-05-11 15:22 - 2016-02-07 12:12 - 00000000 ____D C:\Users\Все пользователи\gDXTyfPUvTsd
2017-05-11 15:22 - 2016-02-07 12:12 - 00000000 ____D C:\Users\Все пользователи\fLBiQXXIzHMrDU
2017-05-11 15:22 - 2016-02-07 12:12 - 00000000 ____D C:\ProgramData\gDXTyfPUvTsd
2017-05-11 15:22 - 2016-02-07 12:12 - 00000000 ____D C:\ProgramData\fLBiQXXIzHMrDU
2017-05-11 15:22 - 2016-02-06 11:17 - 00000000 ____D C:\Users\Все пользователи\JHSaSdvWbyPiwv
2017-05-11 15:22 - 2016-02-06 11:17 - 00000000 ____D C:\ProgramData\JHSaSdvWbyPiwv
2017-05-11 15:22 - 2016-02-05 17:30 - 00000000 ____D C:\Users\Все пользователи\jfFTZTcJaMIy
2017-05-11 15:22 - 2016-02-05 17:30 - 00000000 ____D C:\Users\Все пользователи\ftkUHxAHAiS
2017-05-11 15:22 - 2016-02-05 17:30 - 00000000 ____D C:\ProgramData\jfFTZTcJaMIy
2017-05-11 15:22 - 2016-02-05 17:30 - 00000000 ____D C:\ProgramData\ftkUHxAHAiS
2017-05-11 15:22 - 2016-02-04 18:25 - 00000000 ____D C:\Users\Все пользователи\MleAztTDmlhW
2017-05-11 15:22 - 2016-02-04 18:25 - 00000000 ____D C:\Users\Все пользователи\DchJGPoDNvHB
2017-05-11 15:22 - 2016-02-04 18:25 - 00000000 ____D C:\ProgramData\MleAztTDmlhW
2017-05-11 15:22 - 2016-02-04 18:25 - 00000000 ____D C:\ProgramData\DchJGPoDNvHB
2017-05-11 15:22 - 2016-01-29 13:03 - 00000000 ____D C:\Users\Все пользователи\DEhJkC
2017-05-11 15:22 - 2016-01-29 13:03 - 00000000 ____D C:\ProgramData\DEhJkC
2017-05-11 15:22 - 2016-01-28 16:43 - 00000000 ____D C:\Users\Все пользователи\dwsHkWyXtNQa
2017-05-11 15:22 - 2016-01-28 16:43 - 00000000 ____D C:\ProgramData\dwsHkWyXtNQa
2017-05-11 15:22 - 2016-01-27 15:56 - 00000000 ____D C:\Users\Все пользователи\JurwWx
2017-05-11 15:22 - 2016-01-27 15:56 - 00000000 ____D C:\ProgramData\JurwWx
2017-05-11 15:22 - 2016-01-24 21:52 - 00000000 ____D C:\Users\Все пользователи\ErmksR
2017-05-11 15:22 - 2016-01-24 21:52 - 00000000 ____D C:\ProgramData\ErmksR
2017-05-11 15:22 - 2016-01-22 17:36 - 00000000 ____D C:\Users\Все пользователи\DESODrKDo
2017-05-11 15:22 - 2016-01-22 17:36 - 00000000 ____D C:\ProgramData\DESODrKDo
2017-05-11 15:22 - 2016-01-21 12:45 - 00000000 ____D C:\Users\Все пользователи\LTxllzotaeo
2017-05-11 15:22 - 2016-01-21 12:45 - 00000000 ____D C:\Users\Все пользователи\kUfhjrFjgX
2017-05-11 15:22 - 2016-01-21 12:45 - 00000000 ____D C:\ProgramData\LTxllzotaeo
2017-05-11 15:22 - 2016-01-21 12:45 - 00000000 ____D C:\ProgramData\kUfhjrFjgX
2017-05-11 15:22 - 2016-01-18 16:46 - 00000000 ____D C:\Users\Все пользователи\ioyKPxrM
2017-05-11 15:22 - 2016-01-18 16:46 - 00000000 ____D C:\Users\Все пользователи\DTPLGATlhxjP
2017-05-11 15:22 - 2016-01-18 16:46 - 00000000 ____D C:\ProgramData\ioyKPxrM
2017-05-11 15:22 - 2016-01-18 16:46 - 00000000 ____D C:\ProgramData\DTPLGATlhxjP
2017-05-11 15:22 - 2016-01-17 15:09 - 00000000 ____D C:\Users\Все пользователи\HcSdsI
2017-05-11 15:22 - 2016-01-17 15:09 - 00000000 ____D C:\ProgramData\HcSdsI
2017-05-11 15:22 - 2016-01-16 12:42 - 00000000 ____D C:\Users\Все пользователи\MsISLPMiAoTqif
2017-05-11 15:22 - 2016-01-16 12:42 - 00000000 ____D C:\ProgramData\MsISLPMiAoTqif
2017-05-11 15:22 - 2016-01-14 23:03 - 00000000 ____D C:\Users\Все пользователи\HwQNKEuIAXSyxvm
2017-05-11 15:22 - 2016-01-14 23:03 - 00000000 ____D C:\ProgramData\HwQNKEuIAXSyxvm
2017-05-11 15:22 - 2016-01-12 21:39 - 00000000 ____D C:\Users\Все пользователи\MnCujyl
2017-05-11 15:22 - 2016-01-12 21:39 - 00000000 ____D C:\ProgramData\MnCujyl
2017-05-11 15:22 - 2016-01-11 15:21 - 00000000 ____D C:\Users\Все пользователи\mLtnPuF
2017-05-11 15:22 - 2016-01-11 15:21 - 00000000 ____D C:\Users\Все пользователи\fLlfHqoM
2017-05-11 15:22 - 2016-01-11 15:21 - 00000000 ____D C:\ProgramData\mLtnPuF
2017-05-11 15:22 - 2016-01-11 15:21 - 00000000 ____D C:\ProgramData\fLlfHqoM
2017-05-11 15:22 - 2016-01-10 23:16 - 00000000 ____D C:\Users\Все пользователи\lnLVTf
2017-05-11 15:22 - 2016-01-10 23:16 - 00000000 ____D C:\ProgramData\lnLVTf
2017-05-11 15:22 - 2015-12-28 20:01 - 00000000 ____D C:\Users\Все пользователи\maZuwxzCeKMMYu
2017-05-11 15:22 - 2015-12-28 20:01 - 00000000 ____D C:\ProgramData\maZuwxzCeKMMYu
2017-05-11 15:22 - 2015-12-27 20:35 - 00000000 ____D C:\Users\Все пользователи\mdqpmrm
2017-05-11 15:22 - 2015-12-27 20:35 - 00000000 ____D C:\ProgramData\mdqpmrm
2017-05-11 15:22 - 2015-12-23 22:11 - 00000000 ____D C:\Users\Все пользователи\mJNApfLJmKeVRQG
2017-05-11 15:22 - 2015-12-23 22:11 - 00000000 ____D C:\Users\Все пользователи\EyukeSZfRoP
2017-05-11 15:22 - 2015-12-23 22:11 - 00000000 ____D C:\ProgramData\mJNApfLJmKeVRQG
2017-05-11 15:22 - 2015-12-23 22:11 - 00000000 ____D C:\ProgramData\EyukeSZfRoP
2017-05-11 15:22 - 2015-12-23 09:25 - 00000000 ____D C:\Users\Все пользователи\JcVXvxcgaMvAuj
2017-05-11 15:22 - 2015-12-23 09:25 - 00000000 ____D C:\ProgramData\JcVXvxcgaMvAuj
2017-05-11 15:22 - 2012-05-21 11:24 - 00000000 ____D C:\Users\Все пользователи\DatacardService
2017-05-11 15:22 - 2012-05-21 11:24 - 00000000 ____D C:\ProgramData\DatacardService
2017-05-11 15:22 - 2012-05-03 19:07 - 00000000 ____D C:\Users\Все пользователи\Guard.Mail.Ru
2017-05-11 15:22 - 2012-05-03 19:07 - 00000000 ____D C:\ProgramData\Guard.Mail.Ru
2017-05-11 15:22 - 2011-11-25 13:35 - 00000000 ____D C:\Users\Все пользователи\Microsoft Help
2017-05-11 15:21 - 2016-02-20 21:24 - 00000000 ____D C:\Users\Все пользователи\ceVWKcbRXE
2017-05-11 15:21 - 2016-02-20 21:24 - 00000000 ____D C:\ProgramData\ceVWKcbRXE
2017-05-11 15:21 - 2016-02-19 20:49 - 00000000 ____D C:\Users\Все пользователи\bjMaqFUbX
2017-05-11 15:21 - 2016-02-19 20:49 - 00000000 ____D C:\ProgramData\bjMaqFUbX
2017-05-11 15:21 - 2016-02-17 21:56 - 00000000 ____D C:\Users\Все пользователи\cGGboeQaga
2017-05-11 15:21 - 2016-02-17 21:56 - 00000000 ____D C:\ProgramData\cGGboeQaga
2017-05-11 15:21 - 2016-02-11 19:02 - 00000000 ____D C:\Users\Все пользователи\apiQGJBGoT
2017-05-11 15:21 - 2016-02-11 19:02 - 00000000 ____D C:\ProgramData\apiQGJBGoT
2017-05-11 15:21 - 2016-02-01 19:06 - 00000000 ____D C:\Users\Все пользователи\bXaCNrCJ
2017-05-11 15:21 - 2016-02-01 19:06 - 00000000 ____D C:\ProgramData\bXaCNrCJ
2017-05-11 15:21 - 2016-01-28 16:43 - 00000000 ____D C:\Users\Все пользователи\AoZalZV
2017-05-11 15:21 - 2016-01-28 16:43 - 00000000 ____D C:\ProgramData\AoZalZV
2017-05-11 15:21 - 2016-01-25 23:25 - 00000000 ____D C:\Users\Все пользователи\cWUVeHQwyHUw
2017-05-11 15:21 - 2016-01-25 23:25 - 00000000 ____D C:\Users\Все пользователи\CHjwkc
2017-05-11 15:21 - 2016-01-25 23:25 - 00000000 ____D C:\ProgramData\cWUVeHQwyHUw
2017-05-11 15:21 - 2016-01-25 23:25 - 00000000 ____D C:\ProgramData\CHjwkc
2017-05-11 15:21 - 2016-01-22 17:36 - 00000000 ____D C:\Users\Все пользователи\cMDyWQqbkdrMSKA
2017-05-11 15:21 - 2016-01-22 17:36 - 00000000 ____D C:\ProgramData\cMDyWQqbkdrMSKA
2017-05-11 15:21 - 2016-01-19 22:44 - 00000000 ____D C:\Users\Все пользователи\bXtarTnNxkzM
2017-05-11 15:21 - 2016-01-19 22:44 - 00000000 ____D C:\ProgramData\bXtarTnNxkzM
2017-05-11 15:21 - 2015-12-29 20:01 - 00000000 ____D C:\Users\Все пользователи\bvwdsIKKAoxkKuu
2017-05-11 15:21 - 2015-12-29 20:01 - 00000000 ____D C:\ProgramData\bvwdsIKKAoxkKuu
2017-05-11 15:19 - 2015-12-20 22:37 - 00000000 ____D C:\Users\Все пользователи\abtcuwqgEZITest
2017-05-11 15:19 - 2015-12-20 22:37 - 00000000 ____D C:\ProgramData\abtcuwqgEZITest
2016-10-30 19:54 - 2016-10-30 19:54 - 0000000 _____ () C:\Users\Оля\AppData\Local\Temp\6fxszdap.dll
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[dog5542]

Все сделал, вот результат:

Fixlog.txt

[thyrex]

Ищите оригиналы файлов, которые были зашифрованы, и пробуйте https://decrypter.emsisoft.com/cry128

[dog5542]

Дико дико извиняюсь, я профан еще в вопросах дешифровки файлов, поэтому прошу подробней немного расписать кое что еще. Как пользоваться дешифровщиком я понял. А как найти оригиналы зашифрованых файлов? И главное как они выглядят эти оригиналы? Прочитал кучу информации в гугле, изучил инструкцию по пользованию той программы на которую вы дали мне ссылку. Везде пишут что надо искать файлы с названием как были у оригиналов. По размеру нашел 30 гиговую папку. Перелопатил эту папку вдоль и поперек. Открыл все скрытые папки, дорылся до конечной большой папки, с помощью тотал командера открыл и ее, а там 8 папок в которых очень много файлов, с разными разширениями. Но они совсем не похожи на те что я ищу, или я не то ищу? Подскажите плиз еще разок....

Изменено 25 мая, 2017 пользователем dog5542

[thyrex]

В данном случае оригинальный файл отличается от шифрованного отсутствием приписанного вирусом расширения .id_2281451674_fgb45ft3pqamyji7.onion

 

Для Вашей системы самый простой способ найти оригиналы - на системе аналогичной Вашей зайти в папку со стандартными картинками (коала, хризантемы и т.д.)

[dog5542]

Если я правильно Вас понимаю мне нужен один оригинальный файл из тех что был ноуте и его закодированный вариант? Верно?

[thyrex]

Правильно понимаете