Удаление вируса Novikov.Vavila@gmail.com

[OK-crb]

Baшu файлы былu зашифpoваны.
Чmoбы рaсшuфpoваmь ux, Baм нeoбxoдuмо отпpавuть кoд:
BFE5195E7289B6F896BC|0
нa элекmpoнный aдpec Novikov.Vavila@gmail.com .
Далee вы пoлучиme вce нeoбходuмыe uнcmpукцuи.
Попыmки расшифрoвamь cамocmояmельнo не nрuвeдym нu к чeму, kромe бeзвозвpamной nоmepи uнфoрмaциu.
Eслu вы вcё же хоmиme поnыmaтьcя, mо предваритeльнo cдeлайте pезеpвные kопии файлов, uнaче в cлучae
ux uзменeния рaсшuфрoвka сmанеm невозможной ни npu kаkux yслoвuях.
Если вы нe пoлyчuли oтветa пo вышeуkaзaнномy адреcу в mечениe 48 чaсoв (u тольko в этом cлyчаe!),
воcпользyйmесь фoрмой oбpaтной связu. Эmо можно cделamь двyмя cпoсoбaми:
1) Сkaчайтe и усmановume Tor Browser no ссылке: https://www.torproject.org/download/download-easy.html.en
B адрecнoй стpoke Tor Browser-а ввeдите aдреc:
http://cryptsen7fo43rr6.onion/
и нaжмите Enter. 3агрyзuтcя сmpaницa c фopмой oбратной связи.
2) B любом брayзepе nеpeйдитe по oдномy uз aдpecов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

Addition.txt

FRST.txt

[Sandor]

@OK-crb, по правилам логи нужны другие. Перечитайте внимательно.

[OK-crb]

Логи

CollectionLog-2017.07.14-08.42.zip

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SpyHunter 4

Антивирус Касперского 6.0 для Windows Workstations - версия устаревшая и больше не поддерживается. Переходите на KES10.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[OK-crb]

KLAN-6525569374

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
csrss.exe - Trojan-Ransom.Win32.Shade.nvv

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

[Sandor]

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ждем.

[OK-crb]

ЛОГ

CollectionLog-2017.07.17-08.04.zip

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО: Цитата SpyHunter 4

Почему не удалили?

 

После удаления:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[OK-crb]

FRST.txt, Addition.txt, Shortcut.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicy\User: Restriction ? <==== ATTENTION
  GroupPolicyScripts: Restriction <==== ATTENTION
  2017-07-13 10:47 - 2017-07-13 10:48 - 00000000 __SHD C:\Users\Все пользователи\Csrss
  2017-07-13 10:47 - 2017-07-13 10:48 - 00000000 __SHD C:\ProgramData\Csrss
  2017-07-13 10:46 - 2017-07-13 10:46 - 06220854 _____ C:\Users\user\AppData\Roaming\212520D8212520D8.bmp
  2017-07-13 10:46 - 2017-07-13 10:46 - 00004154 _____ C:\Users\user\Desktop\README9.txt
  2017-07-13 10:46 - 2017-07-13 10:46 - 00004154 _____ C:\Users\user\Desktop\README8.txt
  2017-07-13 10:46 - 2017-07-13 10:46 - 00004154 _____ C:\Users\user\Desktop\README7.txt
  2017-07-13 10:46 - 2017-07-13 10:46 - 00004154 _____ C:\Users\user\Desktop\README6.txt
  2017-07-13 10:46 - 2017-07-13 10:46 - 00004154 _____ C:\Users\user\Desktop\README5.txt
  2017-07-13 10:46 - 2017-07-13 10:46 - 00004154 _____ C:\Users\user\Desktop\README4.txt
  2017-07-13 10:46 - 2017-07-13 10:46 - 00004154 _____ C:\Users\user\Desktop\README3.txt
  2017-07-13 10:46 - 2017-07-13 10:46 - 00004154 _____ C:\Users\user\Desktop\README2.txt
  2017-07-13 10:46 - 2017-07-13 10:46 - 00004154 _____ C:\Users\user\Desktop\README10.txt
  2017-07-13 10:46 - 2017-07-13 10:46 - 00004154 _____ C:\Users\user\Desktop\README1.txt
  2017-07-12 14:27 - 2017-07-14 15:00 - 00000000 __SHD C:\Users\Все пользователи\Windows
  2017-07-12 14:27 - 2017-07-14 15:00 - 00000000 __SHD C:\ProgramData\Windows
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[OK-crb]

fixlog

Fixlog.txt

[Sandor]

Вымогатель и его следы очищены. С расшифровкой помочь не сможем.

 

Переходите на KES10

Убедитесь, что включена эта настройка.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[OK-crb]

 

SecurityCheck.txt

SecurityCheck.txt

[Sandor]

------------------------------- [ HotFix ] --------------------------------

HotFix KB3192391 Внимание! Скачать обновления

HotFix KB3197867 Внимание! Скачать обновления

HotFix KB3205394 Внимание! Скачать обновления

HotFix KB4012212 Внимание! Скачать обновления

HotFix KB4019263 Внимание! Скачать обновления

HotFix KB4022722 Внимание! Скачать обновления

--------------------------- [ OtherUtilities ] ----------------------------

OpenOffice.org 3.3 v.3.3.9567 Внимание! Скачать обновления

Microsoft Silverlight v.4.0.50826.0 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 6 Update 22 v.6.0.220 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u131-windows-i586.exe).

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 25 NPAPI v.25.0.0.127 Внимание! Скачать обновления

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО