База 1С и другие файлы зашифрованы с помощью "*.crypt"

16 августа, 2017

Добрый день!

Рабочий компьютер был поражен вирусом, после чего не осталось и одного документа, в т.ч. "накрылась" и база 1С, а также все ЭЦП.

Прошу помочь, по возможности.

Заранее спасибо!

CollectionLog-2017.08.16-10.10.zip

Addition.txt

FRST.txt

Shortcut.txt

how_to_back_files.html

16 августа, 2017

С рассшифровкой помочь не сможем, только почистить хвосты.

C:\Users\2\Desktop\Games.lnk
C:\Users\2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Social Games.lnk
C:\Users\Гл бух\Desktop\Games.lnk
C:\Users\Гл бух\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Social Games.lnk
C:\Users\Гл бух\AppData\Roaming\DeviceVm\SmartView\plugins\ZyngaGames\ru-RU\Games.lnk
C:\Users\2\AppData\Roaming\DeviceVm\SmartView\plugins\ZyngaGames\ru-RU\Games.lnk

Эти ярлыки вам знакомы?

Java(TM) 6 Update 17 [20150603]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF}

очень древняя и дрявая, деинсталируйте её.

7-Zip 9.29 alpha [2013/09/11 14:15:01]-->"C:\Program Files\7-Zip\Uninstall.exe"

после этого уже несколько стабильных релизов было. Советую обновить.

_________________________

Удалите остатки avast

Скачайте утилиту aswclear.exe и сохраните ее на Вашем Рабочем столе;
Перезагрузите компьютер в безопасном режиме;
Запустите утилиту на выполнение;
Если продукт avast! был установлен не в папку по умолчанию, укажите путь к ней. (Внимание: Содержимое данной папки будет полностью удалено!)
Нажмите REMOVE
Перезагрузите компьютер в нормальный режи

У вас какой-нибудь антивирус сейчас стоит?
Нортон как понимаю тоже уже удалён? Тогда и его хвосты удалите, инструкция по удалению хвостов антивирусов здесь.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-19\...\RunOnce: [] => [X]
HKU\S-1-5-20\...\RunOnce: [] => [X]
HKU\S-1-5-21-3143716440-3167988220-2010824969-1000\...\Run: [ASRockXTU] => [X]
HKU\S-1-5-21-3143716440-3167988220-2010824969-1000\...\Run: [zASRockInstantBoot] => [X]
HKU\S-1-5-21-3143716440-3167988220-2010824969-1000\...\MountPoints2: {7809f628-bba4-11e6-ae4c-494e53000030} - F:\AutoRun.exe
HKU\S-1-5-21-3143716440-3167988220-2010824969-1000\...\MountPoints2: {9a137dc4-c973-11e4-9776-002522d624cb} - F:\AutoRun.exe
HKU\S-1-5-21-3143716440-3167988220-2010824969-1000\...\MountPoints2: {b29322c3-3c89-11e3-9c32-002522d624cb} - G:\AutoRun.exe
HKU\S-1-5-21-3143716440-3167988220-2010824969-1000\...\MountPoints2: {b29322cf-3c89-11e3-9c32-002522d624cb} - F:\AutoRun.exe
HKU\S-1-5-21-3143716440-3167988220-2010824969-1000\...\MountPoints2: {c30b0181-d4f1-11e3-9f23-002522d624cb} - F:\AutoRun.exe
HKU\S-1-5-21-3143716440-3167988220-2010824969-1000\...\MountPoints2: {c30b0185-d4f1-11e3-9f23-002522d624cb} - G:\AutoRun.exe
HKU\S-1-5-21-3143716440-3167988220-2010824969-1000\...\MountPoints2: {f3d9fee5-1acb-11e3-b598-002522d624cb} - F:\AutoRun.exe
HKU\S-1-5-21-3143716440-3167988220-2010824969-1000\...\MountPoints2: {f3d9ff12-1acb-11e3-b598-002522d624cb} - F:\AutoRun.exe
HKU\S-1-5-21-3143716440-3167988220-2010824969-1000\...\MountPoints2: {f86d2b24-32b9-11e4-9e89-002522d624cb} - F:\AutoRun.exe
HKU\S-1-5-21-3143716440-3167988220-2010824969-1000\...\MountPoints2: {fe62f4c4-6d74-11e5-92e3-494e53000030} - H:\AutoRun.exe
HKU\S-1-5-18\...\RunOnce: [] => [X]
BHO: No Name -> {0E5680D1-BF44-4929-94AF-FD30D784AD1D} -> No File
2017-08-11 14:34 - 2017-08-11 14:34 - 000004376 _____ C:\Users\Public\how_to_back_files.html
2017-08-11 14:34 - 2017-08-11 14:34 - 000004376 _____ C:\Users\Public\Downloads\how_to_back_files.html
2017-08-11 14:34 - 2017-08-11 14:34 - 000004376 _____ C:\Users\Public\Documents\how_to_back_files.html
2017-08-11 14:20 - 2017-08-11 14:20 - 000004376 _____ C:\Users\Гл бух\AppData\Local\how_to_back_files.html
2017-08-11 14:19 - 2017-08-11 14:19 - 000004376 _____ C:\Users\Гл бух\AppData\Roaming\how_to_back_files.html
2017-08-11 14:13 - 2017-08-11 14:13 - 000004376 _____ C:\Users\Гл бух\Desktop\how_to_back_files.html
2017-08-11 14:09 - 2017-08-11 14:09 - 000004376 _____ C:\Users\Гл бух\Documents\how_to_back_files.html
2017-08-11 13:55 - 2017-08-11 13:55 - 000004376 _____ C:\Users\Гл бух\how_to_back_files.html
2017-08-11 13:55 - 2017-08-11 13:55 - 000004376 _____ C:\Users\Гл бух\Downloads\how_to_back_files.html
2017-08-11 14:19 - 2017-08-11 14:19 - 000004376 _____ () C:\Users\Гл бух\AppData\Roaming\how_to_back_files.html
2013-10-24 10:51 - 2017-08-11 14:19 - 000002384 _____ () C:\Users\Гл бух\AppData\Roaming\mySign.dat.crypt
2013-09-11 15:11 - 2017-08-11 14:19 - 000001024 _____ () C:\Users\Гл бух\AppData\Roaming\random72.bin.crypt
2017-08-03 10:26 - 2017-08-03 10:26 - 000000000 ____H () C:\Users\Гл бух\AppData\Local\BIT9FF6.tmp
2017-08-11 14:20 - 2017-08-11 14:20 - 000004376 _____ () C:\Users\Гл бух\AppData\Local\how_to_back_files.html
2016-01-18 22:19 - 2017-08-11 14:20 - 000008544 _____ () C:\Users\Гл бух\AppData\Local\Resmon.ResmonCfg.crypt
2017-08-03 10:26 - 2017-08-03 10:26 - 000000000 _____ () C:\Users\Гл бух\AppData\Local\{5B1696EC-EB8A-4320-AF30-D29E34EEEF81}
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{00b02060-f1f7-492d-a778-d4d2713fabd8}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_117E_12.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{0a3f4dfe-fd14-49c7-9d51-748d15a767d2}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_7E45_42.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{0a598a1f-11e8-40ad-8f4b-274032ee2a93}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_D3F4_1b.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{122D5FEF-8711-4d87-A5BC-41ED5DF77258}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_ADDC_c1.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{17f5997e-ee53-44ab-8ac2-2159c1903ed1}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_D3F4_1b.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{2967905f-ecf3-409f-8019-25b5fccfe72b}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_117E_12.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{299d01f2-df53-4711-8286-1d450e29df33}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_117E_12.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{37bcb01c-0b25-45b6-8a7e-8e56b77d18ff}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_7E45_42.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{38b45e1d-d9e4-40c0-bc24-d483b002c3a9}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_5D5C_19.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{43ddb8b2-8cf7-4d13-af6f-d42b19b8da53}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_9E60_1a.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{4731b7ef-4c59-4151-af2b-ab213ac6ad6b}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_D3F4_1b.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{56C2D5F5-0F32-45cb-AD75-87AF17CFDC27}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_ADDC_c1.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{57963704-EE80-4bc5-8421-66098E5832AE}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_ADDC_c1.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{60940425-4085-4f11-ab34-b9dacd636f4b}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_13F9_11.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{680849bc-b86d-4669-9219-ad9ac13e4ddc}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_13F9_11.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{68C0D34D-264F-4d64-AEF1-51C728DFDAD8}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_ADDC_c1.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{68F469E6-0D31-41FE-A9B6-95ADE76761F1}\InprocServer32 -> C:\Users\C21B~1\AppData\Roaming\GARANT~1\@com\f1shell.dll => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{6a8f8752-e2ec-485d-8e46-b2509f668d26}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_CE46_5e.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{6da75278-e916-4a18-934f-1d90b2cebabd}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_CE46_5e.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{7365bebe-ac14-47f3-bff2-252f9ead5c7b}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_7E45_42.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{7446bb6e-5720-405b-8839-464d958a95d5}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_7E45_42.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{7b7c1f93-8199-4da7-88eb-e25a222c7a15}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_13F9_11.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{85704148-a6c0-4a36-bb16-601a32bc345a}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_5D5C_19.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{8867b89d-cf00-4120-ab72-2ae68678ee63}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_9E60_1a.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{930e573d-7b3f-4325-b6f4-afc57d96f241}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_5D5C_19.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{94f2b2bc-6bf1-40b9-a1e4-73b23c8ecd1e}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_D3F4_1b.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{9ee0a337-0726-4400-95e8-77e893ec681c}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_CE46_5e.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{a70b6806-f2e5-44a5-abb2-14a63cedf752}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_CE46_5e.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{a87602aa-13fc-4d6a-b2e8-e02787e59dad}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_7E45_42.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{acad8a98-286a-420b-9fa3-02c0593917c9}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_13F9_11.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{bf3c66ee-7d7c-43ec-a361-613096d098a0}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_9E60_1a.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{c0d9e8de-0c5f-45a4-9412-095993179c52}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_5D5C_19.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{c127373e-5025-4630-a5be-23c4d86ac559}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_13F9_11.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{c67f5a68-7773-45de-9ca5-2c8a0cbb9d42}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_9E60_1a.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{cbb584c0-d082-4ea4-930f-1a395092c8fa}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_117E_12.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{ce3cc09b-5e51-47fe-88e6-ca2068d12657}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_117E_12.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{e7727e52-306a-4026-a1f3-0a67008f443d}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_CE46_5e.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{ea31ff63-b2b7-468b-b83a-585632d1f4d4}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_5D5C_19.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{f421a744-f2b7-4f8b-a540-2b5ecb8c10b4}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_9E60_1a.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{F62D2442-FE48-4cbc-9FCA-E19FC839461B}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_ADDC_c1.tmp => No File
CustomCLSID: HKU\S-1-5-21-3143716440-3167988220-2010824969-1000_Classes\CLSID\{fd8bec61-dc98-4d29-8194-022271386a90}\InprocServer32 -> C:\Users\Гл бух\AppData\Local\Temp\v8_D3F4_1b.tmp => No File
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

База 1С и другие файлы зашифрованы с помощью "*.crypt"

Рекомендуемые сообщения

xatab1982 0

Ссылка на сообщение

Поделиться на другие сайты

regist 618

Ссылка на сообщение

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum