spora Вирус шифровальщик

[XyLigan]

Добрый день!

Знакомая поймала такой вирус шифровальщик, возможно ли расшифровать файлы.

CollectionLog-2017.08.22-10.37.zip

файл после шифрования.zip

[regist]

1) Прикрепите сообщение вымогателей.

 

2)

globalupdate Helper [20150719]-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}

Обязательно деинсталируйте

3)

Амиго [20150717]-->"C:\Users\user1\AppData\Local\Amigo\Application\32.0.1725.115\Installer\setup.exe" --uninstall
Кнопка "Яндекс" на панели задач [2016/09/27 21:56:39]-->C:\Users\user1\AppData\Local\Yandex\yapin\YandexWorking.exe --uninstall --nopinned

если не используете тоже.

 

4) Программы/расширения от Mail.ru используете?
 

5) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
6)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\26B1C280-1437110905-81E2-24C4-08606E1FB495\knsi26B9.tmp', '');
 QuarantineFile('C:\Program Files (x86)\26B1C280-1437110905-81E2-24C4-08606E1FB495\hnss2B4F.tmp', '');
 QuarantineFile('C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README_sTlLoTpq.hta', '');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-1-6.exe', '');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-1-7.exe', '');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-10.exe', '');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-11.exe', '');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-5.exe', '');
 DeleteFile('C:\WINDOWS\Tasks\ab9abeea-5773-48bd-9edb-1523a83931f0-1-6.job', '64');
 DeleteFile('C:\WINDOWS\Tasks\ab9abeea-5773-48bd-9edb-1523a83931f0-1-7.job', '64');
 DeleteFile('C:\WINDOWS\Tasks\ab9abeea-5773-48bd-9edb-1523a83931f0-10_user.job', '64');
 DeleteFile('C:\WINDOWS\Tasks\ab9abeea-5773-48bd-9edb-1523a83931f0-11.job', '64');
 DeleteFile('C:\WINDOWS\Tasks\ab9abeea-5773-48bd-9edb-1523a83931f0-5.job', '64');
 DeleteFile('C:\WINDOWS\Tasks\ab9abeea-5773-48bd-9edb-1523a83931f0-5_user.job', '64');
 DeleteFile('C:\Program Files (x86)\26B1C280-1437110905-81E2-24C4-08606E1FB495\knsi26B9.tmp', '32');
 DeleteFile('C:\Program Files (x86)\26B1C280-1437110905-81E2-24C4-08606E1FB495\hnss2B4F.tmp', '32');
 DeleteFile('C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README_sTlLoTpq.hta', '32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-1-6.exe', '32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-1-7.exe', '32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-10.exe', '32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-11.exe', '32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV18.07\ab9abeea-5773-48bd-9edb-1523a83931f0-5.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "ab9abeea-5773-48bd-9edb-1523a83931f0-1-6" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ab9abeea-5773-48bd-9edb-1523a83931f0-1-7" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ab9abeea-5773-48bd-9edb-1523a83931f0-10_user" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ab9abeea-5773-48bd-9edb-1523a83931f0-11" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ab9abeea-5773-48bd-9edb-1523a83931f0-5" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ab9abeea-5773-48bd-9edb-1523a83931f0-5_user" /F', 0, 15000, true);
 DeleteService('hisopehe');
 DeleteService('vicoqudu');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

7) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

8) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

9) 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

[XyLigan]

2) файл называется README_sTlLoTpq.hta

    Ссылка на скриншот: http://joxi.ru/xAeE77ZUYMBQGA

[regist]

 

 

README_sTlLoTpq.hta

заархивируйте и прикрепите к сообщению. С рассшифровкой скорее всего помочь не сможем.

 

+ жду всё остальное.