.[syndicateXXX@aol.com].xxxxx

[romanps]

завелся в фирме шифровальщик, стоял Kaspersky Endpoint Security 10 for Windows 10.2.6.3733

не запущен и при запуске выдает сообщение *Не удается получить доступ к объекту, на который ссылается этот ярлык. Возможно отсутствуют необходимые разрешения*

большая часть файлов зашифрована 3.pdf.id-28AE8FD6.[syndicateXXX@aol.com], к любому файлу добавляется приставка .id-28AE8FD6.[syndicateXXX@aol.com], при открытии в текстовом редакторе все в иероглифах. Возможно ли расшифровать файлы?

Также есть 9 exe файлов представлены в картинке, запускались под системой и не удалялись, после завершения процесса снова запускались.

Изменено 30 октября, 2018 пользователем romanps

[regist]

Порядок оформления запроса о помощи
 

[romanps]

1. Провел проверку ПК

Kaspersky Virus Removal Tool 2015;

Dr.Web CureIt!.

2. логи прикрепил

 

 

Изменено 30 октября, 2018 пользователем romanps

[Sandor]

логи прикрепил

Возможно не нажали кнопку "Загрузить".

[romanps]

точно, не нажал(
еще есть компьютер где касперский активен, но как то уживается с процессами из картинки

CollectionLog-2018.10.30-17.17.zip

Изменено 31 октября, 2018 пользователем romanps

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[romanps]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

 

все сделал

Addition.txt

FRST.txt

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X]
  S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X]
  2006-05-24 11:10 - 2006-05-24 11:10 - 000455600 ____R (Macrovision Corporation) C:\Users\admin\AppData\Local\Temp\_is8528.exe
  Task: {E210B910-816F-420F-BAF8-5676549F16A6} - \AdobeReaderUpdate -> No File <==== ATTENTION
  AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
  AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
  File: C:\Windows\SysWOW64\fsproflt.exe
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

 

[romanps]

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X]
  S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X]
  2006-05-24 11:10 - 2006-05-24 11:10 - 000455600 ____R (Macrovision Corporation) C:\Users\admin\AppData\Local\Temp\_is8528.exe
  Task: {E210B910-816F-420F-BAF8-5676549F16A6} - \AdobeReaderUpdate -> No File <==== ATTENTION
  AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
  AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
  File: C:\Windows\SysWOW64\fsproflt.exe
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

 

 

 

 

сделал

Fixlog.txt

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

 

указанный лог так и не приложили.

[romanps]

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

 

указанный лог так и не приложили.

 

BALTIKA2_2018-11-01_09-26-13_v4.1.1.7z

[SQ]

В логах чисто, не нашел вредоносного ПО. У Вас скорее всего новый тип шифровальщика Dharma, к сожалению у нас нет для данного типа шифровальщика решение по расшифровки.

Пробуйте выполнить запрос согласно следующей инструкции: https://forum.kasperskyclub.ru/index.php?showtopic=48525