[РЕШЕНО] Имею аналогичную проблему с шифровальщиком

[pilot59]

Добрый день. Имею аналогичную проблему.
Во вложении Образцы, frst и CollectionLog
Помогите пожалуйста.

Сообщение от модератора thyrex

Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=62749

frst.zip

example.zip

CollectionLog-2019.05.08-13.05.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\winhlp64.exe','');
 DeleteFile('C:\Windows\winhlp64.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[pilot59]

Результат загрузки Файл сохранён как 190508_125326_quarantine_5cd2d14650c25.zip Размер файла 2437486 MD5 74973842bf24848a690a6b22ba9d2f95 Файл закачан, спасибо!

autologger

CollectionLog-2019.05.08-16.01.zip

[thyrex]

Эти настройки в групповых политиках

HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Resident <==== ATTENTION

HKLM Group Policy restriction on software: C:\Windows\SysWOW64\fsproflt.exe <==== ATTENTION

HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0 <==== ATTENTION

HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Radiance <==== ATTENTION

HKLM Group Policy restriction on software: C:\Windows\SysWOW64\MPK <==== ATTENTION

HKLM Group Policy restriction on software: C:\ProgramData\MPK <==== ATTENTION

HKLM Group Policy restriction on software: C:\Windows\system32\drivers\FSPFltd.sys <==== ATTENTION

HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\0009\v3.5.56385 <==== ATTENTION

HKLM Group Policy restriction on software: C:\Program Files\Common Files\microsoft shared\System <==== ATTENTION

HKLM Group Policy restriction on software: C:\Windows\Fonts <==== ATTENTION

HKLM Group Policy restriction on software: C:\Program Files\Hide Folders 2009 <==== ATTENTION

HKLM Group Policy restriction on software: C:\Program Files\Common Files\Intel <==== ATTENTION

HKLM Group Policy restriction on software: C:\Program Files\MPK <==== ATTENTION

HKLM Group Policy restriction on software: C:\ProgramData\DRM <==== ATTENTION

HKLM Group Policy restriction on software: C:\Windows\SysWOW64\drivers\fsproflt.exe <==== ATTENTION

сами делали?

 

C:\Users\prjcastle\Desktop\Desktop_Locker.exe - эта программа Вам известна?

 

Новые логи Farbar сделайте.

[pilot59]

Нет, настройки эти вроде не трогал. В таком виде вижу их в первые.
Desktop_Locker - мне не известен. Видимо через этого пользователя (prjcastle) всё и пришло из-за ненадежного пароля.

Логи Farbar прилагаю.

Уточню. У меня не стоит задача навести порядок и всё вылечить. Мне нужно расшифровать несколько файлов.   ~800мб - SQL База. Дальше я могу всё переустановить заново на чистый диск.
 

frst2.zip

[thyrex]

Т.е. система все равно будет переустанавливаться и чистка мусора не нужна?

[pilot59]

Да, чистка мусора не нужна. Нужно только спасти базу SQL. 

[thyrex]

Проверьте ЛС

[pilot59]

 

ВСЁ расшифровано без ошибок. Данные целы. Ошибок 0.

Огромное спасибо. 

[thyrex]

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".