Файлы зашифрованы "CRYPTED000007" (.crypted000007)

[Фекла]

День добрый, прошу помочь. Поймал вирус. Теперь все файлы зашифрованы Файл "CRYPTED000007" (.crypted000007). Антивирусом ДрВеб и Касперским компьютер проверен вирусы вылечены. Но интересно уязвимость осталась? Требуются дополнительные действия?

CollectionLog-2017.12.15-14.34.zip

Изменено 15 декабря, 2017 пользователем Фекла

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet

Unity Web Player

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Фекла]

Ок

AdwCleanerS0.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Фекла]

AdwCleaner - завершил работу с ошибкой. Это нормально?  После проверки AdwCleaner компьютер перезагрузил. После перезагрузки выплнил проверку  Farbarом

AdwCleanerS1.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

AdwCleaner - завершил работу с ошибкой. Это нормально?

Нет, не нормально. Только Вы прикрепили не тот лог. Нужен с символом [C], а не

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction <==== ATTENTION
  GroupPolicy\User: Restriction <==== ATTENTION
  GroupPolicyUsers\S-1-5-21-959131880-3149337325-1822866914-1004\User: Restriction <==== ATTENTION
  SearchScopes: HKU\S-1-5-21-959131880-3149337325-1822866914-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg
  BHO-x32: No Name -> {323C6E6D-1621-470F-8A52-4FDEC4E75E40} -> No File
  Toolbar: HKU\S-1-5-21-959131880-3149337325-1822866914-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  2017-12-14 19:50 - 2017-12-14 19:50 - 003148854 _____ C:\Users\Пользователь\AppData\Roaming\4C6027804C602780.bmp
  2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Пользователь\Desktop\README9.txt
  2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Пользователь\Desktop\README8.txt
  2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Пользователь\Desktop\README7.txt
  2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Пользователь\Desktop\README6.txt
  2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Пользователь\Desktop\README5.txt
  2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Пользователь\Desktop\README4.txt
  2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Пользователь\Desktop\README3.txt
  2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Пользователь\Desktop\README2.txt
  2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Пользователь\Desktop\README10.txt
  2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Пользователь\Desktop\README1.txt
  2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Public\Desktop\README9.txt
  2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Public\Desktop\README8.txt
  2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Public\Desktop\README7.txt
  2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Public\Desktop\README6.txt
  2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Public\Desktop\README5.txt
  2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Public\Desktop\README4.txt
  2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Public\Desktop\README3.txt
  2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Public\Desktop\README2.txt
  2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Public\Desktop\README10.txt
  2017-12-14 19:50 - 2017-12-14 19:50 - 000004154 _____ C:\Users\Public\Desktop\README1.txt
  2017-12-13 20:51 - 2017-12-13 20:51 - 000004154 _____ C:\README9.txt
  2017-12-13 20:51 - 2017-12-13 20:51 - 000004154 _____ C:\README8.txt
  2017-12-13 20:51 - 2017-12-13 20:51 - 000004154 _____ C:\README7.txt
  2017-12-13 20:51 - 2017-12-13 20:51 - 000004154 _____ C:\README6.txt
  2017-12-13 20:51 - 2017-12-13 20:51 - 000004154 _____ C:\README5.txt
  2017-12-13 20:51 - 2017-12-13 20:51 - 000004154 _____ C:\README4.txt
  2017-12-13 20:51 - 2017-12-13 20:51 - 000004154 _____ C:\README3.txt
  2017-12-13 20:51 - 2017-12-13 20:51 - 000004154 _____ C:\README2.txt
  2017-12-13 20:51 - 2017-12-13 20:51 - 000004154 _____ C:\README10.txt
  2017-12-13 20:51 - 2017-12-13 20:51 - 000004154 _____ C:\README1.txt
  2017-12-13 20:50 - 2017-12-14 20:37 - 000000000 __SHD C:\ProgramData\Windows
  2017-08-22 20:08 - 2017-08-21 22:20 - 001314008 _____ (Mail.Ru) C:\Users\MESSI.Пользователь-ПК\AppData\Local\Temp\6c53-feb6-9123-b990.exe
  2016-12-19 15:04 - 2017-12-13 17:30 - 007258865 _____ () C:\Users\MESSI.Пользователь-ПК\AppData\Local\Temp\amigo_setup.exe
  2016-11-30 18:31 - 2016-11-30 18:31 - 000181544 _____ () C:\Users\MESSI.Пользователь-ПК\AppData\Local\Temp\downloader.exe
  2017-01-21 21:03 - 2017-07-03 21:44 - 004087000 _____ (Mail.Ru) C:\Users\MESSI.Пользователь-ПК\AppData\Local\Temp\mrutmp.exe
  2017-01-09 21:15 - 2017-01-09 21:15 - 000730830 ____T () C:\Users\MESSI.Пользователь-ПК\AppData\Local\Temp\VkontakteDJ_update0986395010.exe
  2017-05-01 00:31 - 2017-05-01 00:31 - 000059670 ____T () C:\Users\MESSI.Пользователь-ПК\AppData\Local\Temp\VkontakteDJ_update5633712005.exe
  2017-01-10 10:17 - 2017-01-10 10:17 - 000337620 ____T () C:\Users\MESSI.Пользователь-ПК\AppData\Local\Temp\VkontakteDJ_update8417641130.exe
  2017-12-15 16:53 - 2017-12-15 16:53 - 000182568 _____ () C:\Users\Пользователь\AppData\Local\Temp\mediaget-uninstaller.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Видны два антивируса

Kaspersky Free

Kaspersky Internet Security

Удалите оба и установите один.

[Фекла]

AdwCleaner - лог с символом (С) отсутствует

Касперский Free - удален

Fixlog.txt

AdwCleanerS0.txt

[Sandor]

Пожалуйста, проделайте следующее:

• Запустите повторно AdwCleaner
• Выберите в меню Инструменты - Настройки
• В разделе Режим отметьте Отладка
• Нажмите ОК
• Повторите Очистку.

Подождите, пока произойдет сбой.

Отчёт отладки (C:\AdwCleaner\AdwCleaner_Debug.log) прикрепите к следующему сообщению.

[Фекла]

Сбоя в этот раз не было. На всякий случай отправляю оба отчета

AdwCleanerS2.txt

AdwCleaner_Debug.log

[Sandor]

лог с символом (С)

по-прежнему отсутствует?

[Фекла]

Подтверждаю лог с символом (С) отсутствует

Периодически вываливается окно  RunDLL

[Sandor]

Сделайте так:

Запустите AdwCleaner, нажмите кнопку Сканирование.

По окончании повторите инструкцию из сообщения №8

[Фекла]

Запустил AdwCleaner от имени администратора. Внес изменения из 8 собщения. Выполнил сканирование, а после этого нажал очистку(случайно) выпало окно с ошибкой. Лог с символом (С) не появился

AdwCleanerS3.txt

AdwCleaner_Debug.log

[regist]

@Фекла, а содержимое папки C:\AdwCleaner\Quarantine можете показать?

[Sandor]

Внес изменения из 8 собщения. Выполнил сканирование

Все-таки не так.

 

Проделайте в такой последовательности:

 

1.

• Запустите AdwCleaner (by Malwarebytes) (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

2.

Далее:

• Запустите повторно AdwCleaner
• Выберите в меню Инструменты - Настройки
• В разделе Режим отметьте Отладка
• Нажмите ОК
• Нажмите Очистка.

Подождите, пока произойдет сбой.

Отчёт отладки (C:\AdwCleaner\AdwCleaner_Debug.log) прикрепите к следующему сообщению. Если появится C:\AdwCleaner\AdwCleaner[Cx].txt - его тоже прикрепите.

Изменено 18 декабря, 2017 пользователем Sandor