База 1С и другие файлы зашифрованы с помощью "*.crypt"

16 августа, 2017

Добрый день!

Рабочий компьютер был поражен вирусом, после чего не осталось и одного документа, в т.ч. "накрылась" и база 1С, а также все ЭЦП.

Прошу помочь, по возможности.

Заранее спасибо!

CollectionLog-2017.08.16-10.10.zip

Addition.txt

FRST.txt

Shortcut.txt

how_to_back_files.html

16 августа, 2017

С рассшифровкой помочь не сможем, только почистить хвосты.

C:\Users\2\Desktop\Games.lnk
C:\Users\2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Social Games.lnk
C:\Users\Гл бух\Desktop\Games.lnk
C:\Users\Гл бух\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Social Games.lnk
C:\Users\Гл бух\AppData\Roaming\DeviceVm\SmartView\plugins\ZyngaGames\ru-RU\Games.lnk
C:\Users\2\AppData\Roaming\DeviceVm\SmartView\plugins\ZyngaGames\ru-RU\Games.lnk

Эти ярлыки вам знакомы?

Java(TM) 6 Update 17 [20150603]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF}

очень древняя и дрявая, деинсталируйте её.

7-Zip 9.29 alpha [2013/09/11 14:15:01]-->"C:\Program Files\7-Zip\Uninstall.exe"

после этого уже несколько стабильных релизов было. Советую обновить.

_________________________

Удалите остатки avast

Скачайте утилиту aswclear.exe и сохраните ее на Вашем Рабочем столе;
Перезагрузите компьютер в безопасном режиме;
Запустите утилиту на выполнение;
Если продукт avast! был установлен не в папку по умолчанию, укажите путь к ней. (Внимание: Содержимое данной папки будет полностью удалено!)
Нажмите REMOVE
Перезагрузите компьютер в нормальный режи

У вас какой-нибудь антивирус сейчас стоит?
Нортон как понимаю тоже уже удалён? Тогда и его хвосты удалите, инструкция по удалению хвостов антивирусов здесь.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-19\...\RunOnce: [] => [X]
HKU\S-1-5-20\...\RunOnce: [] => [X]
HKU\S-1-5-21-3143716440-3167988220-2010824969-1000\...\Run: [ASRockXTU] => [X]
HKU\S-1-5-21-3143716440-3167988220-2010824969-1000\...\Run: [zASRockInstantBoot] => [X]
HKU\S-1-5-21-3143716440-3167988220-2010824969-1000\...\MountPoints2: {7809f628-bba4-11e6-ae4c-494e53000030} - F:\AutoRun.exe
HKU\S-1-5-21-3143716440-3167988220-2010824969-1000\...\MountPoints2: {9a137dc4-c973-11e4-9776-002522d624cb} - F:\AutoRun.exe
HKU\S-1-5-21-3143716440-3167988220-2010824969-1000\...\MountPoints2: {b29322c3-3c89-11e3-9c32-002522d624cb} - G:\AutoRun.exe
HKU\S-1-5-21-3143716440-3167988220-2010824969-1000\...\MountPoints2: {b29322cf-3c89-11e3-9c32-002522d624cb} - F:\AutoRun.exe
HKU\S-1-5-21-3143716440-3167988220-2010824969-1000\...\MountPoints2: {c30b0181-d4f1-11e3-9f23-002522d624cb} - F:\AutoRun.exe
HKU\S-1-5-21-3143716440-3167988220-2010824969-1000\...\MountPoints2: {c30b0185-d4f1-11e3-9f23-002522d624cb} - G:\AutoRun.exe
HKU\S-1-5-21-3143716440-3167988220-2010824969-1000\...\MountPoints2: {f3d9fee5-1acb-11e3-b598-002522d624cb} - F:\AutoRun.exe
HKU\S-1-5-21-3143716440-3167988220-2010824969-1000\...\MountPoints2: {f3d9ff12-1acb-11e3-b598-002522d624cb} - F:\AutoRun.exe
HKU\S-1-5-21-3143716440-3167988220-2010824969-1000\...\MountPoints2: {f86d2b24-32b9-11e4-9e89-002522d624cb} - F:\AutoRun.exe
HKU\S-1-5-21-3143716440-3167988220-2010824969-1000\...\MountPoints2: {fe62f4c4-6d74-11e5-92e3-494e53000030} - H:\AutoRun.exe
HKU\S-1-5-18\...\RunOnce: [] => [X]
BHO: No Name -> {0E5680D1-BF44-4929-94AF-FD30D784AD1D} -> No File
2017-08-11 14:34 - 2017-08-11 14:34 - 000004376 _____ C:\Users\Public\how_to_back_files.html
2017-08-11 14:34 - 2017-08-11 14:34 - 000004376 _____ C:\Users\Public\Downloads\how_to_back_files.html
2017-08-11 14:34 - 2017-08-11 14:34 - 000004376 _____ C:\Users\Public\Documents\how_to_back_files.html
2017-08-11 14:20 - 2017-08-11 14:20 - 000004376 _____ C:\Users\Гл бух\AppData\Local\how_to_back_files.html
2017-08-11 14:19 - 2017-08-11 14:19 - 000004376 _____ C:\Users\Гл бух\AppData\Roaming\how_to_back_files.html
2017-08-11 14:13 - 2017-08-11 14:13 - 000004376 _____ C:\Users\Гл бух\Desktop\how_to_back_files.html
2017-08-11 14:09 - 2017-08-11 14:09 - 000004376 _____ C:\Users\Гл бух\Documents\how_to_back_files.html
2017-08-11 13:55 - 2017-08-11 13:55 - 000004376 _____ C:\Users\Гл бух\how_to_back_files.html
2017-08-11 13:55 - 2017-08-11 13:55 - 000004376 _____ C:\Users\Гл бух\Downloads\how_to_back_files.html
2017-08-11 14:19 - 2017-08-11 14:19 - 000004376 _____ () C:\Users\Гл бух\AppData\Roaming\how_to_back_files.html
2013-10-24 10:51 - 2017-08-11 14:19 - 000002384 _____ () C:\Users\Гл бух\AppData\Roaming\mySign.dat.crypt
2013-09-11 15:11 - 2017-08-11 14:19 - 000001024 _____ () C:\Users\Гл бух\AppData\Roaming\random72.bin.crypt
2017-08-03 10:26 - 2017-08-03 10:26 - 000000000 ____H () C:\Users\Гл бух\AppData\Local\BIT9FF6.tmp
2017-08-11 14:20 - 2017-08-11 14:20 - 000004376 _____ () C:\Users\Гл бух\AppData\Local\how_to_back_files.html
2016-01-18 22:19 - 2017-08-11 14:20 - 000008544 _____ () C:\Users\Гл бух\AppData\Local\Resmon.ResmonCfg.crypt
2017-08-03 10:26 - 2017-08-03 10:26 - 000000000 _____ () C:\Users\Гл бух\AppData\Local\{5B1696EC-EB8A-4320-AF30-D29E34EEEF81}
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{00b02060-f1f7-492d-a778-d4d2713fabd8}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_117E_12.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{0a3f4dfe-fd14-49c7-9d51-748d15a767d2}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_7E45_42.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{0a598a1f-11e8-40ad-8f4b-274032ee2a93}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_D3F4_1b.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{122D5FEF-8711-4d87-A5BC-41ED5DF77258}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_ADDC_c1.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{17f5997e-ee53-44ab-8ac2-2159c1903ed1}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_D3F4_1b.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{2967905f-ecf3-409f-8019-25b5fccfe72b}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_117E_12.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{299d01f2-df53-4711-8286-1d450e29df33}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_117E_12.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{37bcb01c-0b25-45b6-8a7e-8e56b77d18ff}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_7E45_42.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{38b45e1d-d9e4-40c0-bc24-d483b002c3a9}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_5D5C_19.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{43ddb8b2-8cf7-4d13-af6f-d42b19b8da53}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_9E60_1a.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{4731b7ef-4c59-4151-af2b-ab213ac6ad6b}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_D3F4_1b.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{56C2D5F5-0F32-45cb-AD75-87AF17CFDC27}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_ADDC_c1.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{57963704-EE80-4bc5-8421-66098E5832AE}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_ADDC_c1.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{60940425-4085-4f11-ab34-b9dacd636f4b}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_13F9_11.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{680849bc-b86d-4669-9219-ad9ac13e4ddc}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_13F9_11.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{68C0D34D-264F-4d64-AEF1-51C728DFDAD8}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_ADDC_c1.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{68F469E6-0D31-41FE-A9B6-95ADE76761F1}\InprocServer32 -> C:\Users\C21B~1\AppData\Roaming\GARANT~1\@com\f1shell.dll => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{6a8f8752-e2ec-485d-8e46-b2509f668d26}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_CE46_5e.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{6da75278-e916-4a18-934f-1d90b2cebabd}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_CE46_5e.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{7365bebe-ac14-47f3-bff2-252f9ead5c7b}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_7E45_42.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{7446bb6e-5720-405b-8839-464d958a95d5}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_7E45_42.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{7b7c1f93-8199-4da7-88eb-e25a222c7a15}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_13F9_11.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{85704148-a6c0-4a36-bb16-601a32bc345a}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_5D5C_19.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{8867b89d-cf00-4120-ab72-2ae68678ee63}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_9E60_1a.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{930e573d-7b3f-4325-b6f4-afc57d96f241}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_5D5C_19.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{94f2b2bc-6bf1-40b9-a1e4-73b23c8ecd1e}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_D3F4_1b.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{9ee0a337-0726-4400-95e8-77e893ec681c}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_CE46_5e.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{a70b6806-f2e5-44a5-abb2-14a63cedf752}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_CE46_5e.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{a87602aa-13fc-4d6a-b2e8-e02787e59dad}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_7E45_42.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{acad8a98-286a-420b-9fa3-02c0593917c9}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_13F9_11.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{bf3c66ee-7d7c-43ec-a361-613096d098a0}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_9E60_1a.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{c0d9e8de-0c5f-45a4-9412-095993179c52}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_5D5C_19.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{c127373e-5025-4630-a5be-23c4d86ac559}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_13F9_11.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{c67f5a68-7773-45de-9ca5-2c8a0cbb9d42}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_9E60_1a.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{cbb584c0-d082-4ea4-930f-1a395092c8fa}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_117E_12.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{ce3cc09b-5e51-47fe-88e6-ca2068d12657}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_117E_12.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{e7727e52-306a-4026-a1f3-0a67008f443d}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_CE46_5e.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{ea31ff63-b2b7-468b-b83a-585632d1f4d4}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_5D5C_19.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{f421a744-f2b7-4f8b-a540-2b5ecb8c10b4}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_9E60_1a.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{F62D2442-FE48-4cbc-9FCA-E19FC839461B}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_ADDC_c1.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{fd8bec61-dc98-4d29-8194-022271386a90}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_D3F4_1b.tmp => No File
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

База 1С и другие файлы зашифрованы с помощью "*.crypt"

Рекомендуемые сообщения

xatab1982

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum