[РЕШЕНО] Вирус зашифровал файлы с расширением punisher

[Андрей Лукьянов]

Добрый вечер.

Попался, на скаченном архиве с сайта подбора ключей для НОДа, после паспаковки его удалил, но было уже поздно. Зашифровались многие файлы с расширением .punisher

 После перезагрузки файлы зашифровались. Записки с требованиями не было. 

Помогите, пожалуйста. Отсканировал комп на вирусы. Очень надеюсь на вашу помощь. Спасибо.

 

+ сразу образцы зашифрованных файлов doc

CollectionLog-2019.06.11-00.56.zip

Desktop.rar

[SQ]

Здравствуйте,

Мы не можем гарантировать удачное решение касаемо расшифровки.

Удалите остатки от антивируса Avast утилитой Avast Remover.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O1 - Hosts: 127.0.0.1 clients2.google.com
O1 - Hosts: 127.0.0.1 down.baidu2016.com
O1 - Hosts: 127.0.0.1 123.sogou.com
O1 - Hosts: 127.0.0.1 www.czzsyzgm.com
O1 - Hosts: 127.0.0.1 www.czzsyzxl.com
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avast: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyUpload - {EBF00FCB-0769-4B81-9BEC-6C05514111AA},4 - (no file)
O22 - Task: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file)
O22 - Task: \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor - {EA9155A3-8A39-40B4-8963-D3C761B18371} - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Idle Sync Maintenance Task - {BF6C1E47-86EC-4194-9CE5-13C15DCB2001},IdleSyncMaintenance - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Routine Maintenance Task - {1B1F472E-3221-4826-97DB-2C2324D389AE},RoutineMaintenance - (no file)

- Подготовьте лог AdwCleaner и приложите его в теме.

 

[Андрей Лукьянов]

отправил.

CollectionLog-2019.06.11-02.24.zip

[SQ]

- Подготовьте лог AdwCleaner и приложите его в теме.

Указанный лог, так и не предоставили.

[Андрей Лукьянов]

это повторный лог AdwCleaner после проверки.

CollectionLog-2019.06.11-02.24.zip

[Sandor]

Вы прикрепили отчет, собранный с помощью Автологера. А нужен другой. Пройдите по ссылке, там всё расписано подробно.

[Андрей Лукьянов]

отправил

AdwCleanerS00.txt

[Sandor]

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки включите дополнительно в разделе Базовые действия:
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Панель управления нажмите Сканировать.
• По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[Андрей Лукьянов]

отправил

Logs.rar

[Андрей Лукьянов]

добрый вечер. отправляю лого.

Logs.rar

[thyrex]

Наберитесь терпения и ждите. Вам обязательно ответят.

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Андрей Лукьянов]

доброй ночи.

Addition.txt

FRST.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  Start::
  CreateRestorePoint:
  CloseProcesses:
  File: C:\Windows\Samsung\PanelMgr\ssmmgr.exe
  File: C:\Windows\Twain_32\Samsung\SCX3200\Scan2pc.exe
  Task: {02ABD6D0-A583-4751-8D55-CBE6F99FBBFC} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
  Task: {0CE85147-9819-416B-8F83-0298744F08B0} - \WPD\SqmUpload_S-1-5-21-3613331041-1736736195-717293572-1001 -> No File <==== ATTENTION
  Task: {26678192-8365-4C7F-93E2-B557F89C854E} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
  Task: {267E594C-C839-4CF3-845C-8AAB54BFF134} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
  Task: {38671C44-7C71-45C1-A94B-FAB8A1907753} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
  Task: {42F97047-E1A1-47A6-8484-C9BE22772E76} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
  Task: {64F8DDDF-2F2C-43B5-A1A9-AB02B77E65B7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
  Task: {8128A2B1-27ED-4825-9E05-63A88D41255A} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
  Task: {8549F05F-40B2-4428-AE05-30722D9A8190} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
  Task: {865C6ABB-082B-4633-88D5-6834DD228C5A} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
  Task: {9AF00BE4-DECF-4449-96A8-7D65EA7EF2A1} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
  Task: {B2790B64-9BD8-4A6B-AC42-602BA11413A1} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
  Task: {CB6B326F-A9DE-455F-BDCA-78C41BDC0FDA} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
  OPR Extension: (No Name) - C:\Users\Asus\AppData\Roaming\Opera Software\Opera Stable\Extensions\bbkinnonajnbffggbkgiacdaeieopbdb [2019-06-11]
  OPR Extension: (No Name) - C:\Users\Asus\AppData\Roaming\Opera Software\Opera Stable\Extensions\dmdhajlcfmlocjeihknhbbekjaageelh [2019-06-11]
  OPR Extension: (No Name) - C:\Users\Asus\AppData\Roaming\Opera Software\Opera Stable\Extensions\epebfcehmdedogndhlcacafjaacknbcm [2019-06-11]
  R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-07-29] (IObit Information Technology -> IObit)
  2019-06-11 10:05 - 2019-06-11 10:05 - 000000000 ____H C:\Users\Все пользователи\cm-lock
  2019-06-11 10:05 - 2019-06-11 10:05 - 000000000 ____H C:\ProgramData\cm-lock
  2019-06-11 09:50 - 2016-01-18 15:03 - 000000000 ____D C:\Users\Все пользователи\IObit
  2019-06-11 09:50 - 2016-01-18 15:03 - 000000000 ____D C:\Users\Asus\AppData\LocalLow\IObit
  2019-06-11 09:50 - 2016-01-18 15:03 - 000000000 ____D C:\ProgramData\IObit
  2019-06-11 09:50 - 2016-01-18 15:02 - 000000000 ____D C:\Users\Asus\AppData\Roaming\IObit
  2019-06-05 12:30 - 2016-01-18 15:03 - 000000000 ____D C:\Users\Все пользователи\ProductData
  2019-06-05 12:30 - 2016-01-18 15:03 - 000000000 ____D C:\ProgramData\ProductData
  File: C:\WINDOWS\Wiainst64.exe
  File: C:\ProgramData\SetStretch.exe
  ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
  ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> No File
  ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
  ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> No File
  ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
  ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> No File
  HKLM\...\StartupApproved\Run32: => "gmsd_re_005010226"
  HKLM\...\StartupApproved\Run32: => "gmsd_ua_025010027"
  HKLM\...\StartupApproved\Run32: => " QQPCTray"
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

[Андрей Лукьянов]

отправил

Fixlog.txt