Вирус шифровальщик nVhcrypt

[Comya]

Добрый день. У нас школе секретарь открыл письмо с вирусом, который зашифровал все файлы на сетевых дисках и компьютере  в расширение nVhcrypt. Уже смирился с тем что файлы не вернуть, пытаюсь убить вирус. Пролечил Cureitом и Касперским. Выкладываю логи.

CollectionLog-2017.06.16-18.43.zip

[regist]

Антивирус Касперского 6.0 для Windows Workstations - устарел и базы к нему больше ен выпускаются. Надо обновиться до более актуальной версии.

Кнопка "Яндекс" на панели задач [2016/07/20 15:09:38]-->C:\Users\kadr\AppData\Local\Yandex\yapin\YandexWorking.exe --uninstall --nopinned

Если не используется, то деинсталируйте.

 

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\kadr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk

 

 

А также

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OTR\Клиент СЭД\АРМ Генерации ключей.lnk"  -> ["C:\FkClnt1\EXE\!cbank.bat"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Foxit Reader 5.1\Foxit Reader 5.1.lnk"    -> ["C:\Program Files\Foxit Software\Foxit Reader\Foxit Reader.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Foxit Reader 5.1\Uninstall Foxit Reader 5.1.lnk"    -> ["C:\Program Files\Foxit Software\Foxit Reader\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ГИВЦ\ФЛАК 83-РИК\2014\ФЛАК 83-РИК.lnk"    -> ["C:\Program Files\MICC\FLAKRIK\2014\FLAKRIK.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ГИВЦ\ФЛАК 83-РИК\2014\Деинсталляция ФЛАК 83-РИК.lnk"          -> ["C:\Program Files\MICC\FLAKRIK\2014\uninstall.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ГИВЦ\ФЛАК 83-РИК\2014\Руководство пользователя.lnk"           -> ["C:\Program Files\MICC\FLAKRIK\2014\Руководство пользователя.doc"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ГИВЦ\ФЛАК 83-РИК\2014\Инструкция по заполнению.lnk"           -> ["C:\Program Files\MICC\FLAKRIK\2014\Инструкция по заполнению.doc"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Коннект Менеджер\Коннект Менеджер.lnk"    -> ["C:\Program Files\Connect Manager\Connect Manager.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Коннект Менеджер\Удаление программы.lnk"  -> ["C:\Program Files\Connect Manager\uninst.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Коннект Менеджер\Инструкция.lnk"          -> ["C:\Program Files\Connect Manager\usermanual\usermanual_ru.pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ГИВЦ\ФЛАК ОШ-1, ОШ-5\2015\Домашняя страница.lnk"    -> ["C:\Program Files\MICC\FLAKOSH\2015\«ФЛАК ОШ-1, ОШ-5».url"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ГИВЦ\ФЛАК ОШ-1, ОШ-5\2015\Деинсталляция ФЛАК ОШ-1, ОШ-5.lnk"  -> ["C:\Program Files\MICC\FLAKOSH\2015\uninstall.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ГИВЦ\ФЛАК ОШ-1, ОШ-5\2015\Руководство пользователя.lnk"       -> ["C:\Program Files\MICC\FLAKOSH\2015\Руководство пользователя.doc"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ГИВЦ\ФЛАК ОШ-1, ОШ-5\2015\Инструкция по заполнению.lnk"       -> ["C:\Program Files\MICC\FLAKOSH\2015\Инструкция по заполнению.doc"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Recuva\Recuva.lnk"    -> ["C:\Program Files\Recuva\recuva.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Recuva\Uninstall Recuva.lnk"    -> ["C:\Program Files\Recuva\uninst.exe"]
>>>  "C:\Users\kadr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Игры\Игры от Turbogames.ru\Колор Кросс\Колор Кросс.lnk"  -> ["C:\Colour Cross\ColorCross.exe"]
>>>  "C:\Users\kadr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Игры\Игры от Turbogames.ru\Колор Кросс\Удалить игру.lnk"           -> ["C:\Colour Cross\Uninstall.exe"]
>>>  "C:\Users\kadr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Колор Кросс.lnk"        -> ["C:\Colour Cross\ColorCross.exe"]
>>>  "C:\Users\kadr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Игры\Игры от Turbogames.ru\Колор Кросс\Установить DirectX 9.0с (March 2008 RunTime).lnk"         -> ["C:\Colour Cross\DirectX\DXSETUP.exe"]
>>>  "C:\Users\kadr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Дом с привидениями. Обитатели кошмаров. Коллекционное издание.lnk"        -> ["C:\Haunted Halls - Nightmare Dwellers CE\HauntedHalls_NightmareDwellers.exe"]
>>>  "C:\Users\kadr\Desktop\notebook\ИСХОДЯЩ\10-11 исх\заява Виктория.lnk"       -> ["C:\Users\kadr\Desktop\Альбина\заявка.doc"]
>>>  "C:\Users\kadr\Desktop\кадры 2015-2017\КАДРЫ\Труд Договора\договора и доп рабочие\И Пе Кучи.docx.lnk"     -> ["C:\Users\kadr\Desktop\яяя\допы\И Пе Кучи.docx"]
>>>  "C:\Users\kadr\Desktop\кадры 2015-2017\отчет СТАТИСТИКА\1-T-prof.xls - Ярлык.lnk"     -> ["C:\Users\kadr\Desktop\кадры 2015-2016\ОТЧЕТЫ Деп Обр\1-T-prof.xls"]
>>>  "C:\Users\kadr\Desktop\кадры 2015-2017\Приказы\кадр2016\63-прием  -Рындиной.lnk"      -> ["C:\Users\kadr\Desktop\кадры 2015-2016\Приказы\кадр2016\60-прием Чумаковой.doc"]
>>>  "C:\Users\kadr\Desktop\кадры 2015-2017\ЯРЛЫКИ\Foxit Reader 5.1.lnk"         -> ["C:\Program Files\Foxit Software\Foxit Reader\Foxit Reader.exe"]
>>>  "C:\Users\kadr\Desktop\кадры 2015-2017\ЯРЛЫКИ\Коннект Менеджер.lnk"         -> ["C:\Program Files\Connect Manager\Connect Manager.exe"]
>>>  "C:\Users\kadr\Desktop\кадры 2015-2017\ЯРЛЫКИ\м - Ярлык.lnk"      -> ["C:\Users\kadr\Documents\м"]
>>>  "C:\Users\kadr\Desktop\кадры 2015-2017\ЯРЛЫКИ\ФЛАК 83-РИК 2014.lnk"         -> ["C:\Program Files\MICC\FLAKRIK\2014\FLAKRIK.exe"]

Файлы на которые ссылаются эти ярлыки отсуствуют, если решите их по быстрому удалить, то также просто исправьте с помощью ClearLNK.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.