Шифровальщик trojan.encoder.858 kaspersky. Файлы *.crypted000007

[Gogi68]

Добрый день! Комп без иронии отдался шифровальщику.
Подхвачен  через почтовое вложение.

Файлы *.crypted000007

Прошу помощи с восстановлением.
Файлы логов и зашифрованный приложены. Писем от домогателя не было

CollectionLog-2018.12.12-15.22.zip

foto.rar

Изменено 12 декабря, 2018 пользователем Gogi68

[regist]

Здравствуйте!

@Gogi68, с рассшифровкой помочь не сможем, только дочистить остаки вируса.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 QuarantineFileF('C:\ProgramData\Windows\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '64');
 DeleteFileMask('C:\ProgramData\Windows\', '*', true);
 DeleteDirectory('C:\ProgramData\Windows\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

R3 - HKCU\..\URLSearchHooks: (no name) -  - (no file)
R3 - HKCU\..\URLSearchHooks: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKCU\..\Run: [Client Server Runtime Subsystem] = C:\ProgramData\Windows\csrss.exe  (file missing)
O9-32 - Button: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}: &Связанные заметки OneNote - (no file)
O9-32 - Tools menu item: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}: &Связанные заметки OneNote - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[Gogi68]

KLAN-9259548485

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
    
Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

[regist]

 

 

В антивирусных базах информация по присланным вами файлам отсутствует: quarantine.zip

вы что архив ещё в один архив упаковали?

+ ждём

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.