Вирус зашифровал зашифровал файлы .CRYPT

[kostey 0]

Добрый день.

Вчера были зашифрованы все имеющиеся файлы, сами файлы остались на месте, а в расширении добавилось .crypt

Прилагаю пример зашифрованного файла и текстовый файл с инструкцией по восстановлению.

Прикрепленные файлы

 

CollectionLog-2017.10.27-10.00.zip

files.zip

[regist 617]

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

2) Кнопка "Яндекс" на панели задач, Менеджер браузеров - если сами не ставили (не используете) деинсталируйте.

 

3)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

4) Поищите пару оригинальный и зашифрованный файл.

[kostey 0]

1 пункт выполнил https://virusinfo.info/showthread.php?t=215977

2 пункт выполнил

3 пункт выполнил файл прилагаю

4 пункт пару не нашел

 

AdwCleanerS0.txt

[Sandor 1 253]

4 пункт пару не нашел

Ищите, это в Ваших же интересах.

Ищите на других ПК, в почте, аналогичные картинки из папки c:\Users\Public\Pictures\ и т.п.

[kostey 0]

Прикрепляю файлы к пункту 4 

Desert.zip

Изменено 27 октября, 2017 пользователем kostey

[regist 617]

Skype Click to Call - тоже советую деинсталировать.

 

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[kostey 0]

все выполнил. Файл прикрепляю

AdwCleanerC0.txt

[regist 617]

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

[kostey 0]

Прикладываю файлы

FRST.txt

Addition.txt

Shortcut.txt

[regist 617]

групповые политики сами настраивали?

 

Skype Click to Call - так и не удалили.

[kostey 0]

политики сам не настраивал. 

skype click to call удалил вместе со скайпом

Выкладываю заново файлы

 

Addition.txt

FRST.txt

Shortcut.txt

[regist 617]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-2753054333-1240625506-1483120086-1249 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ATTENTION
HKU\S-1-5-21-2753054333-1240625506-1483120086-1249 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe <==== ATTENTION
HKU\S-1-5-21-2753054333-1240625506-1483120086-1249 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe <==== ATTENTION
HKU\S-1-5-21-2753054333-1240625506-1483120086-1249 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ATTENTION
AppInit_DLLs-x32: c:\progra~2\suptab\search~1.dll => No File
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.delta-homes.com/?type=hp&ts=1419319036&from=wpm12233&uid=WDCXWD1502FAEX-007BA0_WD-WMAY0386813868138
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1404389944&from=cor&uid=WDCXWD1502FAEX-007BA0_WD-WMAY0386813868138&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1419319036&from=wpm12233&uid=WDCXWD1502FAEX-007BA0_WD-WMAY0386813868138
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1404389944&from=cor&uid=WDCXWD1502FAEX-007BA0_WD-WMAY0386813868138&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1404389944&from=cor&uid=WDCXWD1502FAEX-007BA0_WD-WMAY0386813868138&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1404389944&from=cor&uid=WDCXWD1502FAEX-007BA0_WD-WMAY0386813868138&q={searchTerms}
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2102} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=286&systemid=102&v=n12521-368&apn_uid=4246090212324440&apn_dtid=BND102&o=APN10646&apn_ptnrs=AG7&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1404389944&from=cor&uid=WDCXWD1502FAEX-007BA0_WD-WMAY0386813868138&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1404389944&from=cor&uid=WDCXWD1502FAEX-007BA0_WD-WMAY0386813868138&q={searchTerms}
SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2102} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=286&systemid=102&v=n12521-368&apn_uid=4246090212324440&apn_dtid=BND102&o=APN10646&apn_ptnrs=AG7&q={searchTerms}
FF user.js: detected! => C:\Users\d.dudenkov\AppData\Roaming\Mozilla\Firefox\Profiles\4zr9s3iz.default\user.js [2014-07-03]
FF SearchEngineOrder.1: Mozilla\Firefox\Profiles\4zr9s3iz.default -> Ask.com
FF Extension: (No Name) - C:\Users\d.dudenkov\AppData\Roaming\Mozilla\Firefox\Profiles\4zr9s3iz.default\Extensions\{00fe044f-e66e-46a7-97c3-971338ebe390} [2014-07-03] [not signed]
FF Extension: (No Name) - C:\Users\d.dudenkov\AppData\Roaming\Mozilla\Firefox\Profiles\4zr9s3iz.default\extensions\yasearch@yandex.ru [not found]
FF Extension: (No Name) - C:\Users\d.dudenkov\AppData\Roaming\Mozilla\Firefox\Profiles\4zr9s3iz.default\extensions\staged\{00fe044f-e66e-46a7-97c3-971338ebe390} [not found]
FF SearchEngineOrder.1: Mozilla\Firefox\Profiles\zvb5kba5.default-1364484918578 -> Ask.com
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\zvb5kba5.default-1364484918578 -> delta-homes
FF HKLM-x32\...\Firefox\Extensions: [quiknowledge@quiknowledge.com] - C:\Program Files (x86)\Mozilla Firefox\extensions\quiknowledge@quiknowledge.com => not found
FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\d.dudenkov\AppData\Roaming\Mozilla\Firefox\Profiles\zvb5kba5.default-1364484918578\extensions\faststartff@gmail.com => not found
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\Ask.xml [2014-06-04]
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\avg-secure-search.xml [2013-02-19]
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\delta-homes.xml [2014-12-23]
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\sweet-page.xml [2014-07-03]
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR Extension: (No Name) - C:\Users\d.dudenkov\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-07-10] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTION
CHR Extension: (Utime) - C:\Users\d.dudenkov\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpcibgnngaaabebmcabmkocdokepdaki [2015-01-12] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTION
CHR Extension: (Skype Click to Call) - C:\Users\d.dudenkov\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl [2014-09-17] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTION
CHR Extension: (Google Wallet) - C:\Users\d.dudenkov\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-02-25] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTION
2017-10-26 07:54 - 2017-10-26 07:54 - 000006517 _____ C:\Users\user.TVAMEDIA\Инструкция по восстановлению файлов.TXT
2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\Администратор\Инструкция по восстановлению файлов.TXT
2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\Администратор\Desktop\Инструкция по восстановлению файлов.TXT
2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\vitaliy\Инструкция по восстановлению файлов.TXT
2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\vitaliy\Desktop\Инструкция по восстановлению файлов.TXT
2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\video\Инструкция по восстановлению файлов.TXT
2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\user\Инструкция по восстановлению файлов.TXT
2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\trykin\Инструкция по восстановлению файлов.TXT
2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\trykin\Desktop\Инструкция по восстановлению файлов.TXT
2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\soloviev\Инструкция по восстановлению файлов.TXT
2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\soloviev\Desktop\Инструкция по восстановлению файлов.TXT
2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\savchenko\Инструкция по восстановлению файлов.TXT
2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\savchenko\Desktop\Инструкция по восстановлению файлов.TXT
2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\savcenko\Инструкция по восстановлению файлов.TXT
2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\savcenko\Desktop\Инструкция по восстановлению файлов.TXT
2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\sandzhieva\Инструкция по восстановлению файлов.TXT
2017-10-26 03:41 - 2017-10-26 03:41 - 000006517 _____ C:\Users\sandzhieva\Downloads\Инструкция по восстановлению файлов.TXT
2017-10-26 03:41 - 2017-10-26 03:41 - 000006517 _____ C:\Users\sandzhieva\Documents\Инструкция по восстановлению файлов.TXT
2017-10-26 03:41 - 2017-10-26 03:41 - 000006517 _____ C:\Users\sandzhieva\Desktop\Инструкция по восстановлению файлов.TXT
2017-10-26 03:41 - 2017-10-26 03:41 - 000006517 _____ C:\Users\kvadratova\Инструкция по восстановлению файлов.TXT
2017-10-26 03:41 - 2017-10-26 03:41 - 000006517 _____ C:\Users\kvadratova\Desktop\Инструкция по восстановлению файлов.TXT
2017-10-26 03:41 - 2017-10-26 03:41 - 000006517 _____ C:\Users\ksloushaenko\Инструкция по восстановлению файлов.TXT
2017-10-26 03:41 - 2017-10-26 03:41 - 000006517 _____ C:\Users\ksloushaenko\Downloads\Инструкция по восстановлению файлов.TXT
2017-10-26 03:41 - 2017-10-26 03:41 - 000006517 _____ C:\Users\ksloushaenko\Desktop\Инструкция по восстановлению файлов.TXT
2017-10-26 03:41 - 2017-10-26 03:41 - 000006517 _____ C:\Users\Default\Инструкция по восстановлению файлов.TXT
2017-10-26 03:36 - 2017-10-26 03:36 - 000006517 _____ C:\Users\d.dudenkov\Downloads\Инструкция по восстановлению файлов.TXT
2017-10-26 03:36 - 2017-10-26 03:36 - 000006517 _____ C:\Users\d.dudenkov\Documents\Инструкция по восстановлению файлов.TXT
2017-10-26 03:28 - 2017-10-26 03:28 - 000006517 _____ C:\Users\d.dudenkov\Desktop\Инструкция по восстановлению файлов.TXT
2017-10-26 03:28 - 2017-10-26 03:28 - 000006517 _____ C:\Users\alisenko\Инструкция по восстановлению файлов.TXT
2017-10-26 03:28 - 2017-10-26 03:28 - 000006517 _____ C:\Users\alisenko\Desktop\Инструкция по восстановлению файлов.TXT
2017-10-26 03:28 - 2017-10-26 03:28 - 000006517 _____ C:\Users\administrator\Инструкция по восстановлению файлов.TXT
2017-10-26 03:28 - 2017-10-26 03:28 - 000006517 _____ C:\Users\administrator\Desktop\Инструкция по восстановлению файлов.TXT
2017-10-26 03:27 - 2017-10-26 07:54 - 000006517 _____ C:\Users\user.TVAMEDIA\Desktop\Инструкция по восстановлению файлов.TXT
2017-10-26 03:42 - 2015-01-12 17:48 - 000000000 ____D C:\ProgramData\surFFkeeepit
2017-10-26 03:42 - 2015-01-12 17:48 - 000000000 ____D C:\ProgramData\deeal4real
FirewallRules: [TCP Query User{2F5FA1C6-01AA-44BB-A276-3A564A7816F5}C:\program files (x86)\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations mp4\avp.exe] => (Allow) C:\program files (x86)\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations mp4\avp.exe
FirewallRules: [UDP Query User{9A49A441-1452-4C41-B83A-7CA38C7A7C02}C:\program files (x86)\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations mp4\avp.exe] => (Allow) C:\program files (x86)\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations mp4\avp.exe
EmptyTemp:
Reboot:
End::

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[kostey 0]

прикладываю файл

Fixlog.txt

[regist 617]

проверьте ЛС.

[kostey 0]

Спасибо. Все расшифровалось.