Шифровальщик с расширением .usa

[Константин Ворожкин 0]

Добрый день. Походу тот же шифровальщик с расширением .usa (.[madbad@foxmail.com].usa). зашифровка пошла 26,01,2019 в 20.57.
прикрепляю архив с зашифрованными файлами, и по ответу предыдущему вопрошающему текстовые файлы рекомендованной утилиты.

Сообщение от модератора thyrex

Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=61728

Зашифрованные файлы.rar

Addition&FRST.rar

[thyrex 1 412]

Порядок оформления запроса о помощи

Логи прикрепите к следующему сообщению в данной теме.

[Константин Ворожкин 0]

Прикрепляю архив с логами AVZ

CollectionLog-2019.01.30-12.44.zip

[thyrex 1 412]

С расшифровкой помочь не сможем. Будет только зачистка мусора в системе.

 

SpyHunter 5

Кнопка "Яндекс" на панели задач

Менеджер браузеров

удалите через Установку программ.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
CHR HomePage: Default -> hxxp://search.conduit.com/?ctid=CT3323737&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=5&UP=SP69C614C3-A682-42E2-B8CE-CAE0E2DD6F3D&SSPV=
CHR StartupUrls: Default -> "hxxp://search.conduit.com/?ctid=CT3323737&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=5&UP=SP69C614C3-A682-42E2-B8CE-CAE0E2DD6F3D&SSPV=","","hxxp://www.sweet-page.com/?type=hp&ts=1397835396&from=cor&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F007762977629","hxxp://www.sweet-page.com/?type=hppp&ts=1397835613&from=cor&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F007762977629","hxxp://www.delta-homes.com/?type=hp&ts=1402561206&from=wpm0612&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F007762977629","hxxp://mail.ru/cnt/10445?gp=anvir2","hxxps://mysearch.avg.com?cid={D221236A-410A-41C1-B37B-AECC79D41E2F}&mid=f72ab3a06fbf47d29d7d4597c654ca7a-4ed702f02302085e7ffb725011a581125f9fae24&lang=ru&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-09-13 10:42:36&v=18.1.9.799&pid=safeguard&sg=&sap=hp","hxxp://mail.ru/cnt/10445?gp=789169"
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mbckjcfnjmoiinpgddefodcighgikkgn] - hxxps://clients2.google.com/service/update2/crx
2018-03-11 10:56 - 2018-01-25 22:05 - 000187712 _____ () C:\Users\Администратор\AppData\Local\Temp\downloader.exe
Task: {08AD4682-FF60-4358-AC2B-88A2317C1189} - \G2MUploadTask-S-1-5-21-3024522549-3447984359-180256545-1000 -> No File <==== ATTENTION
Task: {67BE042E-C079-47FA-9BCA-C79F43C9CD7D} - \G2MUpdateTask-S-1-5-21-3024522549-3447984359-180256545-1000 -> No File <==== ATTENTION
Task: {B3534EB7-761C-444C-A4A9-6FC987341C52} - \{692F4270-A236-4920-8560-102F085A84CD} -> No File <==== ATTENTION
Task: {BAC9C094-47D1-49C0-B2BB-14B8F853A550} - \Opera scheduled Autoupdate 1490077418 -> No File <==== ATTENTION
Task: {E5F11724-37B7-45FE-9413-32DD511B8C2B} - \{E431F75C-45E5-430A-9D69-C0F5E32F2DC8} -> No File <==== ATTENTION
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\":
WMI:subscription\__EventFilter->BVTFilter:
WMI:subscription\CommandLineEventConsumer->BVTConsumer:
AlternateDataStreams: C:\Windows:CM_05f32bac1588d9593f1d088e06c7282137af1ae97e88e5ffb6a796c5df0ef32d [32]
AlternateDataStreams: C:\Windows:CM_596bebebac3954f3110d99010c32f9ed826c25eb8aad415950985aea60b3eb24 [32]
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Константин Ворожкин 0]

прикрепляю последние сделанные логи после запуска фикса

Fixlog.txt

[thyrex 1 412]

Больше помочь нечем.

[Константин Ворожкин 0]

Спасибо и на этом, что же скопирую все утраченные файлы на внешний носитель, и буду ждать и надеяться на выход дешифратора. Подскажите как можно защититься от подобных ситуаций? Дело в том, что компьютер находится в локальной сети, и вирус изначально попал на другой компьютер: там зашифровал все данные на самом пк, и так же все данные с общим доступом в сети (в том числе и данные в папке на моём компьютере).