ransom.shade Вирус шифровальщик

[unname123]

Вирус зашифровал файлы, связанные с настройками некоторых программ.

Возможна ли дешифровка?

CollectionLog-2017.06.28-11.43.zip

[regist]

1) Сообщение от вымогателя прикрепите.

 

2)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

[unname123]

1) После шифровки файлов компьютер был перезагружен. Как найти это сообщение?

 

2) Отчет AdwCleaner прикрепил.

AdwCleanerS0.txt

[regist]

 

 

После шифровки файлов компьютер был перезагружен. Как найти это сообщение?

Это вам лучше знать. А если нет этого сообщения, то почему вообще решили, что у вас был шифровальщик?

 

Программы/расширения от Mail.ru используете?
 

[unname123]

Со слов пользователя, сразу после открытия письма с вирусом начался процесс после которого компьютер перезагрузился. А после перезагрузки появились файлы с расширением .no_more_ransom вместо старых файлов.

К сожалению неопытный пользователь самостоятельно пытался решить проблему и в процессе удалил часть файлов, принимая их за вирусы. Сообщения от вымогателя также, возможно, были удалены.

Возможно осталось письмо от вымогателя. Оно может пригодиться?

 

Программы/расширения от Mail.ru не используются.

[Sandor]

Оно может пригодиться?

Нет. С расшифровкой, увы, помочь не сможем. Будет очистка нежелательного рекламного ПО и следов вымогателя.

 

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[unname123]

1) Отчет AdwCleaner прикрепил

 

2) Отчеты FRST.txt, Addition.txt, Shortcut.txt прикрепил

AdwCleanerC0.txt

FRST.txt

Addition.txt

Shortcut.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  ProxyServer: [S-1-5-21-1270290708-983460848-1132428542-1217] => 127.0.0.1:8080
  Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
  FF NetworkProxy: Mozilla\Firefox\Profiles\km8mzx52.default -> http", "127.0.0.1"
  2017-06-07 13:58 - 2017-06-07 15:11 - 00000000 __SHD C:\Users\Все пользователи\services
  2017-06-07 13:58 - 2017-06-07 15:11 - 00000000 __SHD C:\Users\Все пользователи\Csrss
  2017-06-07 13:58 - 2017-06-07 15:11 - 00000000 __SHD C:\ProgramData\services
  2017-06-07 13:58 - 2017-06-07 15:11 - 00000000 __SHD C:\ProgramData\Csrss
  2017-06-07 13:58 - 2017-06-07 13:58 - 06220854 _____ C:\Users\goa\AppData\Roaming\95A6750495A67504.bmp
  2017-06-07 11:16 - 2017-06-07 15:11 - 00000000 __SHD C:\Users\Все пользователи\Windows
  2017-06-07 11:16 - 2017-06-07 15:11 - 00000000 __SHD C:\ProgramData\Windows
  2017-06-28 14:22 - 2016-03-22 15:32 - 00000000 ____D C:\Users\Все пользователи\IObit
  2017-06-28 14:22 - 2016-03-22 15:32 - 00000000 ____D C:\ProgramData\IObit
  2017-06-07 11:43 - 2016-03-22 15:32 - 00000000 ____D C:\Users\Все пользователи\ProductData
  2017-06-07 11:43 - 2016-03-22 15:32 - 00000000 ____D C:\ProgramData\ProductData
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Изменено 28 июня, 2017 пользователем Sandor

[unname123]

Лог-файл прикрепил.

Fixlog.txt

[Sandor]

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[unname123]

Лог прикрепил.

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Контроль учётных записей пользователя отключен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

------------------------------- [ HotFix ] --------------------------------

HotFix KB3192391 Внимание! Скачать обновления

HotFix KB3197867 Внимание! Скачать обновления

HotFix KB3205394 Внимание! Скачать обновления

HotFix KB4012212 Внимание! Скачать обновления

HotFix KB4019263 Внимание! Скачать обновления

HotFix KB4022722 Внимание! Скачать обновления

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.31 (64-разрядная) v.5.31.0 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.1.8.2 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 91 v.8.0.910.14 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u131-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Reader XI (11.0.14) - Russian v.11.0.14 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

----------------------------- [ EmailClient ] -----------------------------

Mozilla Thunderbird 52.1.1 (x86 ru) v.52.1.1 Внимание! Скачать обновления

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

[unname123]

Спасибо, но программы также выдают ошибки из-за недостающих файлов библиотек .dll

Значит теперь только переустановка?

[Sandor]

программы также выдают ошибки

Какие именно программы и какие ошибки?

[unname123]

Например, программа для документооборота СБиС++ Документооборот при запуске не может найти библиотеки esign.dll, shipment.dll и т.д. около 10 файлов. Выдает ошибки.

Приложил скриншоты.