ransom.shade Файлы зашифрованы Trojan.Encoder.858

[regist]

1) Удалите папку C:\FRST со всем содержимым. А также предыдущие логи FRST.

 

2) Соберите свежие логи. Если забыли как их собирать, то в сообщение №8 внизу инструкция.

[Djamper]

Вот

Addition_14-04-2018 19.49.45.txt

FRST_14-04-2018 19.49.45.txt

Shortcut_14-04-2018 19.49.45.txt

[regist]

1)

Остатки AVG и Avast удалите https://safezone.cc:...echenija.19966/

Почему не сделали? Выполните у вас до сих пор остались хвосты этих антвирусов.
 

2) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Start::
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-4185630100-3693493249-4009428951-1001\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Toolbar: HKU\S-1-5-21-4185630100-3693493249-4009428951-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Extension: (Avast SafePrice) - C:\Users\TOM\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\sp@avast.com.xpi [2018-03-11]
FF Extension: (Avast Online Security) - C:\Users\TOM\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\wrc@avast.com.xpi [2018-02-18]
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.7\npGoogleUpdate3.dll [No File]
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.7\npGoogleUpdate3.dll [No File]
FF Plugin HKU\S-1-5-21-4185630100-3693493249-4009428951-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [No File]
CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - hxxp://vk.ijmelto.ru/index.xml
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers1-x32: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
ContextMenuHandlers4: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
ContextMenuHandlers6-x32: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
Task: {2646AB68-BAE1-4556-B9F8-26C4554A446F} - System32\Tasks\AVG EUpdate Task => avgsetupx.exe
Task: {5DE7C89F-A91C-43DC-AA02-DF5431A55258} - \SafeBrowser -> No File <==== ATTENTION
Task: {64092992-B23F-4A52-BD11-E0FD8913285D} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION
Task: {B13EBD06-5FAB-4F60-8DB1-BB24416FE570} - \gameo_update -> No File <==== ATTENTION
Task: {D28D54EC-C328-4B49-8C59-B8011C2F1ECE} - \nethost task -> No File <==== ATTENTION
Shortcut: C:\Users\TOM\AppData\Roaming\Microsoft\Windows\Start Menu\Отдохни с Простыми играми!.lnk -> E:\GamesMailRu\mail_ru.url (No File) <==== Cyrillic
FirewallRules: [{BC4BC370-50D2-455B-8A05-67BD5686EA33}] => (Allow) C:\Windows\ati.exe
FirewallRules: [{DDDE9E70-0F72-47BC-80BE-E36E999C4BBD}] => (Allow) C:\Windows\cuda.exe
FirewallRules: [{70361346-A673-489C-B1CA-F06421FB58F6}] => (Allow) C:\Windows\ati.exe
FirewallRules: [{F6163549-18BD-4640-A871-7EBE6A90F252}] => (Allow) C:\Windows\cuda.exe
FirewallRules: [TCP Query User{03EF48F6-B2C6-487D-BB29-B1532C95F24B}C:\program files\java\jre1.8.0_131\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_131\bin\javaw.exe
FirewallRules: [UDP Query User{04817E1A-A771-4F48-951B-6EEEEFBD6B7A}C:\program files\java\jre1.8.0_131\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_131\bin\javaw.exe
FirewallRules: [TCP Query User{7225970E-E7F5-4CE9-BE06-19F5BA466B37}C:\users\tom\ostiumgame\updates\jre-8u131-win64\bin\javaw.exe] => (Allow) C:\users\tom\ostiumgame\updates\jre-8u131-win64\bin\javaw.exe
FirewallRules: [UDP Query User{45A30B7C-F1FD-497B-B025-38A273DE51CA}C:\users\tom\ostiumgame\updates\jre-8u131-win64\bin\javaw.exe] => (Allow) C:\users\tom\ostiumgame\updates\jre-8u131-win64\bin\javaw.exe
EmptyTemp:
Reboot:
End::

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

3) Файл Readme[1].txt - Readme[10].txt не смогли найти?

[Djamper]

Файлы Readme[1].txt - Readme[10].txt не нашёл

Fixlog_15-04-2018 00.48.04.txt

[regist]

 

 

Файлы Readme[1].txt - Readme[10].txt не нашёл

Тогда помочь нечем. У вас др. Веб установлен. Если есть лицензия на него, то обратитесь в их тех. поддержку, вполне вероятно что они помогут.

Если есть лицензия на касперского, то можете и в его тех. поддержку обратиться.

 

 

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.


 

[Djamper]

Спасибо за то, что попытались помочь

В поддержку др. Веб обращался, но они тоже не смогли мне помочь.

Сказали:

Файлы зашифрованы Trojan.Encoder.858
Расшифровка нашими силами невозможна.

[mike 1]

 

 

В поддержку др. Веб обращался, но они тоже не смогли мне помочь.

А в том запросе случайно не загружали файл Readme.txt? 

[shahz]

Djamper прикладывал выше один зашифрованный файл. У меня был подобный шифратор, записка README.txt даже осталась.

Инструментом декритор от ЛК я файлы успешна расшифровал тада. 

Я загрузил README.txt. Ссылка вот на нее: https://www.sendspace.com/file/ggi0mt 

 

Можно попробовать ее с файлом Djamper. Если это та версия шифратора, то поможет. 

Сам  не могу проверить - не могу загружать файлы.  

Изменено 16 апреля, 2018 пользователем shahz

[mike 1]

Djamper прикладывал выше один зашифрованный файл. У меня был подобный шифратор, записка README.txt даже осталась.

Инструментом декритор от ЛК я файлы успешна расшифровал тада. 

Я загрузил README.txt. Ссылка вот на нее: https://www.sendspace.com/file/ggi0mt 

 

Можно попробовать ее с файлом Djamper. Если это та версия шифратора, то поможет. 

Сам  не могу проверить - не могу загружать файлы.  

Просили посмотреть одного человека данный файл, а вместо него влезает другой человек со своим файлом. Знаете это мягко некрасиво. Вас никто ни о чем не просил.