spora Шифровальщик Spore

[Петрич Дмитрий]

Способ заражения стандарт, письмо на почте.

Прогнал через каспер, Spore помещён в карантин.
Все файлы на ПК и на USB HardDisck зашифрованы.

Логи во вложение, жду вашего ответа.

[regist]

 

 

Логи во вложение,

не видно.

[Петрич Дмитрий]

Логи во вложении

CollectionLog-2017.05.30-12.56.zip

[regist]

"Пофиксите" в HijackThis:

R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{10AE27AD-406C-4C41-886D-8813C07BCA2A} - (no name) - (no URL)
O21 - ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay0 -  - (no file)
O21 - ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay1 -  - (no file)
O21 - ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay2 -  - (no file)

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Петрич Дмитрий]

Файлы отчёт выгрузил

Скрин отчёта первого сканирования касперским фри.
Пишет, что сейчас в карантине но по факту непонятно.
Новые файлы создаёт они открываются работают, пока что вирус не активен.

Прошу прощения, отчёт не полный в программе не все галочки стояли.

Addition.txt

FRST.txt

Shortcut.txt

Отчёт касперский.docx

FRST.txt

Addition.txt

Shortcut.txt

[regist]

MBAM и SpyHunter деинсталируйте.

 

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKLM-x32\...\Run: [] => [X]
  GroupPolicy: Restriction <======= ATTENTION
  GroupPolicy\User: Restriction <======= ATTENTION
  SearchScopes: HKU\S-1-5-21-3492039940-3405695407-1485859051-1001 -> {10AE27AD-406C-4C41-886D-8813C07BCA2A} URL =
  SearchScopes: HKU\S-1-5-21-3492039940-3405695407-1485859051-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BDC8E4C63-76BA-444B-A738-967561CDF1AD%7D&gp=811041
  BHO: No Name -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> No File
  BHO-x32: No Name -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> No File
  CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
  S2 wbiosrvp; C:\WINDOWS\System32\svchost.exe [38792 2014-11-20] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
  S2 wbiosrvp; C:\WINDOWS\SysWOW64\svchost.exe [33088 2014-11-20] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
  2017-05-26 09:05 - 2017-05-26 09:05 - 0000000 _____ () C:\Users\dmitry\AppData\Roaming\lJcD8Eh9
  2013-03-09 14:37 - 2013-02-19 10:34 - 2064264 _____ (Samsung Electronics) C:\ProgramData\MakeMarkerFile.exe
  2013-03-09 14:37 - 2013-01-12 17:51 - 0003004 _____ () C:\ProgramData\MakeMarkerFile.xml
  2016-10-15 09:56 - 2017-05-29 20:56 - 0179840 _____ () C:\Users\dmitry\AppData\Local\Temp\mcse32_00.dll
  2016-10-15 09:56 - 2017-05-29 20:56 - 0197760 _____ () C:\Users\dmitry\AppData\Local\Temp\mcse64_00.dll
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.