Шифровальщик helps@tutanota.com 28.05.18

[regist 617]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[ivavasi 0]

Отчеты по результатам сканирования.

Addition.txt

FRST.txt

[Sandor 1 253]

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки включите дополнительно в разделе Базовые действия:
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Панель управления нажмите Сканировать.
• По окончании нажмите кнопку Очистить и ремонт и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[ivavasi 0]

Результаты сканирования программы  AdwCleaner

AdwCleanerC01.txt

[Sandor 1 253]

Соберите свежие отчеты FRST.txt и Addition.txt

[regist 617]

7-Zip 9.20 - обновите до актуальной версии.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  SearchScopes: HKLM -> DefaultScope value is missing
  Toolbar: HKU\S-1-5-21-2163679629-3997452891-2615445815-1001 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
  FF Extension: (Домашняя страница Mail.Ru) - C:\Users\ivan.BESHTAU\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-06-09] [Legacy]
  FF Extension: (Поиск@Mail.Ru) - C:\Users\ivan.BESHTAU\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2016-06-09] [Legacy]
  FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\ivan.BESHTAU\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-06-09] [Legacy]
  FF ProfilePath: C:\Users\ivan.BESHTAU\AppData\Roaming\Profiles\xybl2j5m.default [2018-04-16] <==== ATTENTION
  FF Homepage: Profiles\xybl2j5m.default -> C:\\ProgramData\\Pluslaxs\\ff.HP
  FF NewTab: Profiles\xybl2j5m.default -> C:\\ProgramData\\Pluslaxs\\ff.NT
  FF Extension: (Пульт) - C:\Users\ivan.BESHTAU\AppData\Roaming\Profiles\xybl2j5m.default\Extensions\1ef7-9fa4-095f-0663 [2017-10-24] [Legacy]
  FF Extension: (Домашняя страница Mail.Ru) - C:\Users\ivan.BESHTAU\AppData\Roaming\Profiles\xybl2j5m.default\Extensions\homepage@mail.ru [2017-10-24] [Legacy]
  FF Extension: (Поиск@Mail.Ru) - C:\Users\ivan.BESHTAU\AppData\Roaming\Profiles\xybl2j5m.default\Extensions\search@mail.ru [2017-10-24] [Legacy]
  FF Extension: (Visual Bookmarks) - C:\Users\ivan.BESHTAU\AppData\Roaming\Profiles\xybl2j5m.default\Extensions\vb@yandex.ru [2016-07-06] [Legacy] [not signed]
  FF Extension: ("Yandex Elements") - C:\Users\ivan.BESHTAU\AppData\Roaming\Profiles\xybl2j5m.default\Extensions\yasearch@yandex.ru [2016-07-06] [Legacy] [not signed]
  FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\ivan.BESHTAU\AppData\Roaming\Profiles\xybl2j5m.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-08-09] [Legacy]
  CHR HKLM\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
  OPR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\ivan.BESHTAU\AppData\Roaming\Opera Software\Opera Stable\Extensions\pgkbgflmbfpkbehmfneoglkjkagbkhgd [2017-08-10]
  U3 idsvc; no ImagePath
  HKU\S-1-5-21-1902050800-2788438676-676577097-1003\...\ChromeHTML: -> "C:\Users\0 0-\AppData\Local\Google\Chrome\Application\chrome.exe" -- "%1" <==== ATTENTION
  CustomCLSID: HKU\S-1-5-21-1902050800-2788438676-676577097-1003_Classes\CLSID\{022105BD-948A-40C9-AB42-A3300DDF097F}\localserver32 -> "C:\Users\0 0-\AppData\Local\Google\Update\GoogleUpdate.exe" => No File
  CustomCLSID: HKU\S-1-5-21-1902050800-2788438676-676577097-1003_Classes\CLSID\{22181302-A8A6-4F84-A541-E5CBFC70CC43}\localserver32 -> "C:\Users\0 0-\AppData\Local\Google\Update\1.3.21.111\GoogleUpdateOnDemand.exe" => No File
  CustomCLSID: HKU\S-1-5-21-1902050800-2788438676-676577097-1003_Classes\CLSID\{2F0E2680-9FF5-43C0-B76E-114A56E93598}\localserver32 -> "C:\Users\0 0-\AppData\Local\Google\Update\1.3.21.111\GoogleUpdateOnDemand.exe" => No File
  CustomCLSID: HKU\S-1-5-21-1902050800-2788438676-676577097-1003_Classes\CLSID\{51F9E8EF-59D7-475B-A106-C7EA6F30C119}\localserver32 -> "C:\Users\0 0-\AppData\Local\Google\Update\1.3.21.111\GoogleUpdateOnDemand.exe" => No File
  CustomCLSID: HKU\S-1-5-21-1902050800-2788438676-676577097-1003_Classes\CLSID\{C3101A8B-0EE1-4612-BFE9-41FFC1A3C19D}\InprocServer32 -> C:\Users\0 0-\AppData\Local\Google\Update\1.3.21.111\npGoogleUpdate3.dll => No File
  CustomCLSID: HKU\S-1-5-21-1902050800-2788438676-676577097-1003_Classes\CLSID\{C442AC41-9200-4770-8CC0-7CDB4F245C55}\InprocServer32 -> C:\Users\0 0-\AppData\Local\Google\Update\1.3.21.111\npGoogleUpdate3.dll => No File
  CustomCLSID: HKU\S-1-5-21-1902050800-2788438676-676577097-1003_Classes\CLSID\{E67BE843-BBBE-4484-95FB-05271AE86750}\localserver32 -> "C:\Users\0 0-\AppData\Local\Google\Update\1.3.21.111\GoogleUpdateOnDemand.exe" => No File
  CustomCLSID: HKU\S-1-5-21-1902050800-2788438676-676577097-1003_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\0 0-\AppData\Local\Google\Update\1.3.21.111\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-2163679629-3997452891-2615445815-1001_Classes\CLSID\{022105BD-948A-40C9-AB42-A3300DDF097F}\localserver32 -> "C:\Users\0 0-\AppData\Local\Google\Update\GoogleUpdate.exe" => No File
  CustomCLSID: HKU\S-1-5-21-2163679629-3997452891-2615445815-1001_Classes\CLSID\{19170A69-A883-40D5-AF97-F6DC41495F15}\InprocServer32 -> C:\Users\ivan\AppData\Roaming\Yandex\YandexDisk\YandexDiskShellExt-4724.dll => No File
  CustomCLSID: HKU\S-1-5-21-2163679629-3997452891-2615445815-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\ivan\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\FileSyncShell.dll => No File
  CustomCLSID: HKU\S-1-5-21-2163679629-3997452891-2615445815-1001_Classes\CLSID\{22181302-A8A6-4F84-A541-E5CBFC70CC43}\localserver32 -> "C:\Users\0 0-\AppData\Local\Google\Update\1.3.21.111\GoogleUpdateOnDemand.exe" => No File
  CustomCLSID: HKU\S-1-5-21-2163679629-3997452891-2615445815-1001_Classes\CLSID\{5B004CDE-0211-469C-B9B5-0552E7E63917}\InprocServer32 -> no filepath
  CustomCLSID: HKU\S-1-5-21-2163679629-3997452891-2615445815-1001_Classes\CLSID\{77D8C8C7-6B46-4429-B876-DBC006C96EB1}\InprocServer32 -> no filepath
  CustomCLSID: HKU\S-1-5-21-2163679629-3997452891-2615445815-1001_Classes\CLSID\{CD37ED08-860C-4B86-AD25-5587D8386587}\InprocServer32 -> no filepath
  ContextMenuHandlers1: [HamsterLiteMenu] -> {2DEDD2C9-928E-4442-9417-769C969973B6} => C:\Program Files\Hamster Soft\Hamster Free Archiver\HamsterContextMenu.dll -> No File
  Task: {0EC1401D-A7B0-46DD-8482-80F81C19A3BE} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
  Task: {4ACCCD30-AFB6-4A7C-AE5A-4C1EEF5993AB} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
  Task: {6220AB27-B61D-4A7A-B243-72F58CA9FA71} - \GoogleUpdateTaskUserS-1-5-21-2163679629-3997452891-2615445815-1000Core -> No File <==== ATTENTION
  Task: {6368ED27-1DC3-4807-A73F-DC58AF0A668F} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
  Task: {6A168785-ACE3-46A7-AD9D-2C9EA93E5DB6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
  Task: {7227AEA5-1E63-4C5C-8B73-5117E16F2118} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
  Task: {7551133D-4BE9-4543-8A54-DC24DF686F95} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
  Task: {78A4284D-8BE2-45A4-B66B-D7F6A20E5549} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
  Task: {8CE6C94D-5E0E-4C34-A15B-1FCE46010C66} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
  Task: {9E72EA01-AA8E-4259-99CA-9D92C1C80D96} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
  Task: {A18D6A9F-F292-4388-8EE3-8B5A76A90C93} - System32\Tasks\SystemHealer Task => C:\PROGRA~1\SYSTEM~1\RESCUE~1.EXE <==== ATTENTION
  Task: {A9D45043-59C9-4571-BC1C-4EF2AB25F4FD} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
  Task: {C0059531-7453-4012-A14E-57589D6381A2} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION
  Task: {D735FDC4-4AF6-45DA-B4D6-1F4FD410BDDB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
  Task: {D7551D42-1682-443C-94A0-921F9CFCD2DD} - \Microsoft\Windows\Setup\EOONotify -> No File <==== ATTENTION
  Task: {DB2636D2-A68A-42AA-81BD-C78AF724B551} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
  Task: {E4C29507-DDC4-4D5E-AB0E-7738E1DCD6A6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
  Task: {F5D8A66D-8F3F-4B7C-B0B5-D6FCEFD7F9F2} - \GoogleUpdateTaskUserS-1-5-21-2163679629-3997452891-2615445815-1000UA -> No File <==== ATTENTION
  Task: {F605A94E-1DA6-4A55-A263-4E9318F32DAA} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
  HKU\S-1-5-21-1902050800-2788438676-676577097-1003\...\StartupApproved\Run: => "phbgijefmoangblimiifmafocmlfaobk"
  HKU\S-1-5-21-1902050800-2788438676-676577097-1003\...\StartupApproved\Run: => "bBD1bHNzE5M8O.exe"
  HKU\S-1-5-21-1902050800-2788438676-676577097-1003\...\StartupApproved\Run: => "jai1sRNom.exe"
  HKU\S-1-5-21-1902050800-2788438676-676577097-1003\...\StartupApproved\Run: => "WWbrNWjs.exe"
  HKU\S-1-5-21-1902050800-2788438676-676577097-1003\...\StartupApproved\Run: => "l4ThqavSQ6U.exe"
  HKU\S-1-5-21-1902050800-2788438676-676577097-1003\...\StartupApproved\Run: => "msiql"
  HKU\S-1-5-21-1902050800-2788438676-676577097-1003\...\StartupApproved\Run: => "YeaDesktop"
  HKU\S-1-5-21-1902050800-2788438676-676577097-1003\...\StartupApproved\Run: => "WAJKCRWEDZ.exe"
  HKU\S-1-5-21-1902050800-2788438676-676577097-1003\...\StartupApproved\Run: => "LineHeightAdjuster"
  HKU\S-1-5-21-1902050800-2788438676-676577097-1003\...\StartupApproved\Run: => "QJKIFWTKEM.exe"
  HKU\S-1-5-21-1902050800-2788438676-676577097-1003\...\StartupApproved\Run: => "QSBOITDMCQ.exe"
  HKU\S-1-5-21-1902050800-2788438676-676577097-1003\...\StartupApproved\Run: => "urwRfWG.exe"
  HKU\S-1-5-21-1902050800-2788438676-676577097-1003\...\StartupApproved\Run: => "W6gNjkkGdbf.exe"
  VirusTotal: C:\ProgramData\VideoFetcher\VideoFetcher.exe
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

[ivavasi 0]

Отчеты по результатам сканирования.

лог-файл (Fixlog.txt

Addition.txt

FRST.txt

Fixlog.txt

[Sandor 1 253]

Теперь наберитесь терпения и подождите некоторое время.

[ivavasi 0]

Спасибо жду

[regist 617]

@ivavasi, проверьте ЛС.

[ivavasi 0]

Ура!!! В основном все расшифровалось

 

Результаты:

Successfully decrypted 80301 files!

Skipped 7 files

 

Всем огромное СПАСИБО!!!.

[Sandor 1 253]

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[ivavasi 0]

Выполнил, прикрепил

SecurityCheck.txt

[Sandor 1 253]

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Защитника Windows (mpssvc) - Служба работает

Отключен доменный профиль Брандмауэра Windows

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------

Foxit Reader v.9.0.0.29935 Внимание! Скачать обновления

^Локализованные версии могут обновляться позже англоязычных!^

GPL Ghostscript v.9.15 Внимание! Скачать обновления

TrueCrypt v.7.1a Данная программа больше не поддерживается разработчиком.. Рекомендуется использовать VeraCrypt.

VLC media player v.2.2.6 Внимание! Скачать обновления

LibreOffice 4.4.5.2 v.4.4.5.2 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.3.44396 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java SE Development Kit 8 Update 161 v.8.0.1610.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jdk-8u172-windows-i586.exe)^

--------------------------- [ AppleProduction ] ---------------------------

iTunes v.11.3.0.54 Внимание! Скачать обновления

^Для проверки новой версии используйте приложение Apple Software Update^

Bonjour v.3.0.0.10 Внимание! Скачать обновления

^Для проверки новой версии используйте приложение Apple Software Update^

Служба Bonjour (Bonjour Service) - Служба работает

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 47.0.1 (x86 ru) v.47.0.1 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

---------------------------- [ UnwantedApps ] -----------------------------

Элементы Яндекса 8.7 для Internet Explorer v.8.7.0.3110 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Рекомендации после удаления вредоносного ПО