Вирус шифровальщик nVhcrypt

16 июня, 2017

Добрый день. У нас школе секретарь открыл письмо с вирусом, который зашифровал все файлы на сетевых дисках и компьютере в расширение nVhcrypt. Уже смирился с тем что файлы не вернуть, пытаюсь убить вирус. Пролечил Cureitом и Касперским. Выкладываю логи.

CollectionLog-2017.06.16-18.43.zip

16 июня, 2017

Антивирус Касперского 6.0 для Windows Workstations - устарел и базы к нему больше ен выпускаются. Надо обновиться до более актуальной версии.

Кнопка "Яндекс" на панели задач [2016/07/20 15:09:38]-->C:\Users\kadr\AppData\Local\Yandex\yapin\YandexWorking.exe --uninstall --nopinned

Если не используется, то деинсталируйте.

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\kadr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk

А также


>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OTR\Клиент СЭД\АРМ Генерации ключей.lnk"  -> ["C:\FkClnt1\EXE\!cbank.bat"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Foxit Reader 5.1\Foxit Reader 5.1.lnk"    -> ["C:\Program Files\Foxit Software\Foxit Reader\Foxit Reader.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Foxit Reader 5.1\Uninstall Foxit Reader 5.1.lnk"    -> ["C:\Program Files\Foxit Software\Foxit Reader\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ГИВЦ\ФЛАК 83-РИК\2014\ФЛАК 83-РИК.lnk"    -> ["C:\Program Files\MICC\FLAKRIK\2014\FLAKRIK.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ГИВЦ\ФЛАК 83-РИК\2014\Деинсталляция ФЛАК 83-РИК.lnk"          -> ["C:\Program Files\MICC\FLAKRIK\2014\uninstall.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ГИВЦ\ФЛАК 83-РИК\2014\Руководство пользователя.lnk"           -> ["C:\Program Files\MICC\FLAKRIK\2014\Руководство пользователя.doc"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ГИВЦ\ФЛАК 83-РИК\2014\Инструкция по заполнению.lnk"           -> ["C:\Program Files\MICC\FLAKRIK\2014\Инструкция по заполнению.doc"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Коннект Менеджер\Коннект Менеджер.lnk"    -> ["C:\Program Files\Connect Manager\Connect Manager.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Коннект Менеджер\Удаление программы.lnk"  -> ["C:\Program Files\Connect Manager\uninst.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Коннект Менеджер\Инструкция.lnk"          -> ["C:\Program Files\Connect Manager\usermanual\usermanual_ru.pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ГИВЦ\ФЛАК ОШ-1, ОШ-5\2015\Домашняя страница.lnk"    -> ["C:\Program Files\MICC\FLAKOSH\2015\«ФЛАК ОШ-1, ОШ-5».url"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ГИВЦ\ФЛАК ОШ-1, ОШ-5\2015\Деинсталляция ФЛАК ОШ-1, ОШ-5.lnk"  -> ["C:\Program Files\MICC\FLAKOSH\2015\uninstall.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ГИВЦ\ФЛАК ОШ-1, ОШ-5\2015\Руководство пользователя.lnk"       -> ["C:\Program Files\MICC\FLAKOSH\2015\Руководство пользователя.doc"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ГИВЦ\ФЛАК ОШ-1, ОШ-5\2015\Инструкция по заполнению.lnk"       -> ["C:\Program Files\MICC\FLAKOSH\2015\Инструкция по заполнению.doc"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Recuva\Recuva.lnk"    -> ["C:\Program Files\Recuva\recuva.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Recuva\Uninstall Recuva.lnk"    -> ["C:\Program Files\Recuva\uninst.exe"]
>>>  "C:\Users\kadr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Игры\Игры от Turbogames.ru\Колор Кросс\Колор Кросс.lnk"  -> ["C:\Colour Cross\ColorCross.exe"]
>>>  "C:\Users\kadr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Игры\Игры от Turbogames.ru\Колор Кросс\Удалить игру.lnk"           -> ["C:\Colour Cross\Uninstall.exe"]
>>>  "C:\Users\kadr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Колор Кросс.lnk"        -> ["C:\Colour Cross\ColorCross.exe"]
>>>  "C:\Users\kadr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Игры\Игры от Turbogames.ru\Колор Кросс\Установить DirectX 9.0с (March 2008 RunTime).lnk"         -> ["C:\Colour Cross\DirectX\DXSETUP.exe"]
>>>  "C:\Users\kadr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Дом с привидениями. Обитатели кошмаров. Коллекционное издание.lnk"        -> ["C:\Haunted Halls - Nightmare Dwellers CE\HauntedHalls_NightmareDwellers.exe"]
>>>  "C:\Users\kadr\Desktop\notebook\ИСХОДЯЩ\10-11 исх\заява Виктория.lnk"       -> ["C:\Users\kadr\Desktop\Альбина\заявка.doc"]
>>>  "C:\Users\kadr\Desktop\кадры 2015-2017\КАДРЫ\Труд Договора\договора и доп рабочие\И Пе Кучи.docx.lnk"     -> ["C:\Users\kadr\Desktop\яяя\допы\И Пе Кучи.docx"]
>>>  "C:\Users\kadr\Desktop\кадры 2015-2017\отчет СТАТИСТИКА\1-T-prof.xls - Ярлык.lnk"     -> ["C:\Users\kadr\Desktop\кадры 2015-2016\ОТЧЕТЫ Деп Обр\1-T-prof.xls"]
>>>  "C:\Users\kadr\Desktop\кадры 2015-2017\Приказы\кадр2016\63-прием  -Рындиной.lnk"      -> ["C:\Users\kadr\Desktop\кадры 2015-2016\Приказы\кадр2016\60-прием Чумаковой.doc"]
>>>  "C:\Users\kadr\Desktop\кадры 2015-2017\ЯРЛЫКИ\Foxit Reader 5.1.lnk"         -> ["C:\Program Files\Foxit Software\Foxit Reader\Foxit Reader.exe"]
>>>  "C:\Users\kadr\Desktop\кадры 2015-2017\ЯРЛЫКИ\Коннект Менеджер.lnk"         -> ["C:\Program Files\Connect Manager\Connect Manager.exe"]
>>>  "C:\Users\kadr\Desktop\кадры 2015-2017\ЯРЛЫКИ\м - Ярлык.lnk"      -> ["C:\Users\kadr\Documents\м"]
>>>  "C:\Users\kadr\Desktop\кадры 2015-2017\ЯРЛЫКИ\ФЛАК 83-РИК 2014.lnk"         -> ["C:\Program Files\MICC\FLAKRIK\2014\FLAKRIK.exe"]

Файлы на которые ссылаются эти ярлыки отсуствуют, если решите их по быстрому удалить, то также просто исправьте с помощью ClearLNK.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Вирус шифровальщик nVhcrypt

Рекомендуемые сообщения

Comya

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum