Хватанул трояна

[maxbender]

Ребят поймал трояна шифровальщика, теперь соответственно прошу помощи так как сам не сильно в этом понимаю.

Касперский систему сканирует, проблем не обнаруживает, доктор Веб вчера пару каких то файлов нашел и удалил.

Касперский иногда выкидывает окошки  что обнаружен Троян и удаляет его, получается где то в системе что то еще осталось, есть какой то другой способ найти и удалить остатки вируса ?

И еще помогите пожалуйста с расшифровкой файлов.

CollectionLog-2017.06.22-17.07.zip

Изменено 22 июня, 2017 пользователем maxbender

[Sandor]

Здравствуйте!

 

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[maxbender]

Sandor

Извините но могу отвечать не сразу.

Он написал что найдено 197 угроз, правда каких не знаю, я в этом не сильно понимаю.

 

вот отчет.

Нужно нажать кнопку очистить или нет ?

AdwCleanerS0.txt

Изменено 22 июня, 2017 пользователем maxbender

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[maxbender]

Все сделал.

AdwCleanerS2.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

AdwCleanerS2.txt

Отчет об очистке содержит в имени символ [C].

 

Файл FRST.txt получился почти пустой. Переделайте, пожалуйста.

[maxbender]

Переделал.

FRST.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction ? <======= ATTENTION
  GroupPolicy\User: Restriction ? <======= ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{49adcf36-830c-4034-ac9b-ad4392b80da8} <======= ATTENTION (Restriction - IP)
  BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
  OPR Extension: (Quick Searcher) - C:\Users\Max\AppData\Roaming\Opera Software\Opera Stable\Extensions\ecnphlgnajanjnkcmbpancdjoidceilk [2017-06-05]
  2017-06-22 20:56 - 2016-04-05 13:03 - 00000000 ____D C:\Users\Все пользователи\IObit
  2017-06-22 20:56 - 2016-04-05 13:03 - 00000000 ____D C:\ProgramData\IObit
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[maxbender]

Извини что долго не отвечал, вот файлик.

Fixlog.txt

[Sandor]

Что сейчас с проблемой?

[maxbender]

Антивирус вроде больше пока не ругается, Проблема осталась только в расшифровке файлов, можно их обратно восстановить ?

Вы просите файлики я вам отсылаю а для чего это нужно не знаю, что вы там видите мне не очень интересно, мне хочется попробовать вернуть зашифрованную информацию.

Изменено 27 июня, 2017 пользователем maxbender

[Sandor]

У поврежденных файлов расширение не изменилось?

[maxbender]

Нет, все также и осталось.

К примеру у фоток как было jpg. так и осталось.

Как их не видел комп. так и не видит, при открывании пишет "Средству просмотра фотографий Windows не удалось открыть это изображение, поскольку файл поврежден или слишком велик"

pdf  тоже не открывает " формат файла не поддерживается или был поврежден"

Изменено 27 июня, 2017 пользователем maxbender

[Sandor]

Записки с требованием выкупа, как понимаю, тоже нет?

 

Вероятнее всего это Spora. С расшифровкой помочь не сможем.

 

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[maxbender]

А по поводу выкупа, на почту должно было что то придти ?

какая обычно процедура связи ?

 

Вроде ничего подобного не было.

 

файлик прикрепил

SecurityCheck.txt