globeimposter 2.0 Шифровальщик

[daan]

Просим посодействовать в восстановлении файлов.

 

Предполагаемый вирус обозначается так: 

Kaspersky Trojan-Ransom.Win32.Purgen.mm

Microsoft Ransom:Win32/Ergop.A

DrWeb Trojan.Encoder.11539

 

Сообщение от модератора Mark D. Pearlstone

Логи нужно выкладывать в изначальном виде. Перепаковывать не нужно, если вас не просят сделать иначе. 

Исправил

CollectionLog-2017.09.30-09.51.zip

Addition.txt

FRST.txt

Файл вымогател+шифрованые файлы.rar

[regist]

1) С рассшифровкой помочь не сможем, это GlobeImposter 2.0

2)

c:\windows\vpnplugins\servicing\ibhost.exe
c:\windows\migration\wtr\ime\imonset.exe

эти файлы/программы вам знакомы?

 

3)

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

Подробнее читайте в руководстве Как подготовить лог UVS.
 

[daan]

2. Нет, они мне не знакомы и они созданы примерно в то время, когда было заражение. Если нужно я могу их прислать, сохранил их.

 

ОС, будет переустановлена, зашифрованные данные сохранены до лучших времен.

 

Спасибо.

 

WIN-E4IMO47J9TU_2017-09-30_14-47-19.7z

[regist]

 

 

Нет, они мне не знакомы и они созданы примерно в то время, когда было заражение. Если нужно я могу их прислать, сохранил их.

заархивируйте их с паролем infected а также если рядом с ними в той папке есть другие незнакомые файлы с той же датой создания и отправьте сюда https://virusdesk.kaspersky.ru/ (а если есть лицензия на продукту каспеского, то лучше через личный кабинет). Номер KLAN напишите здесь.

 

 

ОС, будет переустановлена

Тогда нет смысла дальше продолжать её чистку.

Удачи .

+

вот это похоже дроппер (файл с которого вы заразились)

C:\USERS\GALINA\DESKTOP\XTUSERVICE.EXE

https://virustotal.com/ru/file/d887ce0f8aeee1436b49b82fe2fe0ed1212729dd72591d67a62b708171d36ced/analysis/