Шифрование разных файлов (.tmp)

[sanleo83]

Доброго времени суток!

После вчерашнего скачивания игры из интернета (да, грешен...) на диске Е часть файлов (текстовые, фото, видео и т.д.) перестали открываться, у них сменилось расширение на .tmp. Буквально несколько файлов путем принудительной смены расширения удалось исправить, еще часть осталась. Проверял Kaspersky Virus Removal Tool и Dr.Web CureIt!, не помогло. 

Помогите, пожалуйста, разобраться.

Файл протоколов (логов) прилагаю.

CollectionLog-2018.06.04-19.48.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet

Unity Web Player

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://www.mystartsearch.com/web/?type=ds&ts=1425754168&from=con&uid=ST1000LM014-1EJ164_W380BG18XXXXW380BG18&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://www.mystartsearch.com/web/?type=ds&ts=1425754168&from=con&uid=ST1000LM014-1EJ164_W380BG18XXXXW380BG18&q={searchTerms}
O22 - Task: {488EAE4B-CDF1-4E0A-B577-6D079412F9AE} - C:\WINDOWS\system32\pcalua.exe -a C:\Users\Александр\AppData\Roaming\mystartsearch\UninstallManager.exe -c  -ptid=con

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[sanleo83]

Здравствуйте!

Все сделано, как велено. Отчёт прилагаю.

AdwCleanerS00.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки включите дополнительно в разделе Базовые действия:
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Панель управления нажмите Сканировать.
• По окончании нажмите кнопку Очистить и ремонт и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

часть файлов (текстовые, фото, видео и т.д.) перестали открываться

Текстовый файл с требованием выкупа имеется?

[sanleo83]

Все сделано. Текстовый файл с требованием выкупа отсутствует.

AdwCleanerC01.txt

FRST.txt

Addition.txt

[Sandor]

еще часть осталась

Несколько подобных файлов упакуйте в архив и прикрепите к следующему сообщению.

[sanleo83]

Вот эти файлы. У некоторых просто не помню содержание и, соответственно, не могу подобрать/сменить ручками расширение. Первые два по списку вообще не открываются, перепробовал разные расширения...

шифрованные.zip

[regist]

 

 

Прикрепленные файлы

шины.tmp - текстовый, пробуйте .txt

i_love_you.swf

67-3702-02_8334.jpeg

1D0673034992F - mime тип, возможно письмо от почтового клиента. Может по пути, где оно лежало догадаетесь какой именно.

 

PS. ни один из этих файлов не пошифрован.

 

 

1D0673034992F - mime тип, возможно письмо от почтового клиента. Может по пути, где оно лежало догадаетесь какой именно.

точно письмо. Внутри скан платёжки приложен. Расширение всё-таки постарайтесь сами подобрать.

[sanleo83]

Хорошо, подберу сам. На этом Ваши указания заканчиваются? Так все-таки это вирус был? И есть ли необходимость мне провести подобные процедуры на двух других моих компах, флешках и т.д., чтобы избежать повторного заражения (хотя шифрованных файлов больше пока нигде не замечено)? 

[Sandor]

Из-за чего это произошло - сказать трудно.

 

Проделайте завершающие шаги:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[sanleo83]

1. и 2. пункты сделаны. Файл прилагаю. Спасибо!

SecurityCheck.txt

[Sandor]

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 31 v.8.0.310 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u172-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe AIR v.29.0.0.112 Внимание! Скачать обновления

 

 

Рекомендации после удаления вредоносного ПО