файлы зашифрованы, расширение au1crypt

[nicklok 0]

Компьютер школьного секретаря.

Подцепили вирус-шифровальщик.

Все файлы на диске D:\ заменены на файлы с расширением au1crypt, на диске C:\  попадаются только отдельные файлы с этим расширением.

Система вроде бы работоспособна, по крайней мере браузеры и антивирус Касперского работают.
Что именно делали для лечения пока затрудняюсь сказать, работал сегодня только с последствиями.

Восстанавливать удаленные оригинальные версии шифрованных файлов пока не пытался.

Что можно сделать? Есть шанс спасти файлы? 

Прикрепляю логи и несколько зашифрованных файлов, а также файл   how_to_back_files.html

CollectionLog-2017.08.03-14.24.zip

files.zip

[thyrex 1 411]

Это GlobeImposter2. Расшифровки не будет. Только зачистка следов мусора.

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DelBHO('{3444c3c5-6c56-4a16-a453-832b05bf6ea4}');
 DelBHO('{79E1CFFB-E2E0-436C-B82A-9902BBEA6391}');
 DelBHO('{AA74D58F-ACD0-450D-A85E-6C04B171C044}');
 DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
 DelBHO('{AAA38851-3CFF-475F-B5E0-720D3645E4A5}');
 QuarantineFile('C:\Program Files\WebBars\Basement\Extension32.dll','');
 QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\update\Explorer.exe','');
 DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\update\Explorer.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Explorer Manager');
 DeleteFile('C:\Program Files\WebBars\Basement\Extension32.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','32');
 DeleteFile('C:\Windows\system32\Tasks\Windows Debugger','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9); 
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger