Получил по почте файл, оказался вирус.

[srtc]

Добрый вечер. Получил по почте файл оказался вирус. Все файлы вот в таком виде 2JwcsWgdaFh1exwcNmJzomM8HRd2DZgfk56qfgOZwWyi3K8sRuG1oqBQVth4JXC3.0C42763C1D192F9E514B.crypted000007. Сделал по инструкции все предписания. Файл прикрепляю. Возможно ли восстановить информацию

 

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы

CollectionLog-2017.06.14-21.51.zip

[regist]

 1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

2)

 

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

C:\Users\Марина\Desktop\Yandex.lnk
C:\Users\Марина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk
C:\Users\Марина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk

3)

Unity Web Player [2017/05/02 17:49:17]-->C:\Users\Марина\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
Амиго [20170502]-->"C:\Users\Марина\AppData\Local\Amigo\Application\56.0.2924.197\Installer\setup.exe" --uninstall
Кнопка "Яндекс" на панели задач [2017/04/18 22:55:32]-->C:\Users\Марина\AppData\Local\Yandex\YaPin\YandexWorking.exe --uninstall --nopinned
Служба автоматического обновления программ [2017/05/02 17:48:12]-->C:\Users\Марина\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall

Сами ставили? Если нет (или не используете), то деинсталируйте.

 

4)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Изменено 14 июня, 2017 пользователем regist

[srtc]

ClearLNK by Alex Dragokas                                 ver. 2.9.0.11

 

OS:       x32 Windows 7 Ultimate, 6.1.7601, Service Pack: 1

Time:     15.06.2017 - 00:29

Language: OS: RU (0x419). Display: RU (0x419). Non-Unicode: RU (0x419)

Elevated: Yes

User:     Марина (group: Administrator)

 

_____________________________ Начало отчёта ____________________________

.

[ OK ] 2  "C:\Users\Марина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk"    -> [ "C:\Users\Марина\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" ]   (Метод RN-S)   (ОК)

.

[WARN] 1  "C:\Users\Марина\Desktop\Yandex.lnk"    -> [ "C:\Users\Марина\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" ]   (уже вылечен)

[WARN] 3  "C:\Users\Марина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk"    -> [ "C:\Users\Марина\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" ]   (уже вылечен)

.

______________________________ Статистика ______________________________

Лечение запущено: 1 раз за сегодня.

 

Всего обработано: 3

 

  Исправлено:     1

  Предупреждений: 2

____________________________ Конец отчёта ______________________________CRC32: 63009F7B

Подскажите пожалуйста как выполнить 3 пункт? 

Вот прикрепил файл по второму пункту

ClearLNK-15.06.2017_00-29.log

[regist]

 

 

Подскажите пожалуйста как выполнить 3 пункт?

Панель управления - установка и удаление программ - деинсталировать.

[srtc]

Shortcut.txtAddition.txtFRST.txt

 

 

 

 

удалил

3 пункт

все выполнил. что нужно дальше делать?

Изменено 14 июня, 2017 пользователем srtc

[regist]

Программы/расширения от Mail.ru как понимаю не используете?
 

[srtc]

Здравствуйте. Нет не использовал никогда

[regist]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction ? <======= ATTENTION
  GroupPolicy\User: Restriction ? <======= ATTENTION
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=813027"
  CHR NewTab: Default ->  Not-active:"chrome-extension://oelpkepjlgmehajehfeicfbjdiobdkfj/visual-bookmarks.html"
  CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
  CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Марина\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof [2017-05-02]
  CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Марина\AppData\Local\Google\Chrome\User Data\Default\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj [2017-05-02]
  CHR Extension: (Mail.Ru) - C:\Users\Марина\AppData\Local\Google\Chrome\User Data\Default\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd [2017-05-02]
  CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
  2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README9.txt
  2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README8.txt
  2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README7.txt
  2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README6.txt
  2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README5.txt
  2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README4.txt
  2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README3.txt
  2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README2.txt
  2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README10.txt
  2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README1.txt
  2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README9.txt
  2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README8.txt
  2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README7.txt
  2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README6.txt
  2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README5.txt
  2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README4.txt
  2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README3.txt
  2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README2.txt
  2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README10.txt
  2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README1.txt
  2017-06-14 17:48 - 2017-06-14 17:48 - 00000000 ____D C:\Users\Марина\AppData\Local\CEF
  2017-06-14 15:19 - 2017-06-14 17:52 - 00000000 __SHD C:\ProgramData\Windows
  2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README9.txt
  2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README8.txt
  2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README7.txt
  2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README6.txt
  2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README5.txt
  2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README4.txt
  2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README3.txt
  2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README2.txt
  2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README10.txt
  2017-06-15 01:12 - 2017-05-02 17:48 - 00000000 ____D C:\Users\Марина\AppData\Local\Mail.Ru
  2017-06-15 01:12 - 2017-05-02 17:48 - 00000000 ____D C:\Users\Марина\AppData\Local\Amigo
  2017-06-15 01:12 - 2017-04-18 22:47 - 00000000 ____D C:\Program Files\Mail.Ru
  ShortcutWithArgument: C:\Users\Марина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=813022"
  ShortcutWithArgument: C:\Users\Марина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=813022"
  InternetURL: C:\Users\Марина\Favorites\Mail.Ru Агент - используй для общения!.url -> BASEURL: hxxp://agent.mail.ru URL: hxxp://agent.mail.ru/ru/download/agent_windows/download.html?sputnik=1
  InternetURL: C:\Users\Марина\Favorites\Mail.Ru.url -> BASEURL: hxxp://www.mail.ru URL: hxxp://www.mail.ru/cnt/7861
  
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

[srtc]

Fixlog.txt

[regist]

Восстановление системе включите.

 

С расшифровкой помочь нечем.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.