[РЕШЕНО] Зашифрованы файлы. Punisher

[Дарья Вожжова]

Здравствуйте. Зашифрованы часть фотографий на диске D и некоторые файлы на диске C. Письма с требованиями нет.

CollectionLog-2019.06.22-10.50.zip

Изменено 22 июня, 2019 пользователем Дарья Вожжова

[thyrex]

Здравствуйте.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Дарья Вожжова]

Сделано.

Desktop.rar

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-4288470727-2277989248-3793981798-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {0332CAB0-3262-4AA9-9CDD-7451EEB1D135} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {0F17FC17-6952-4289-A9FB-C47CD4FCFEF6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {1FCEB36C-0C4E-4262-A889-6169AB7816E7} - \nethost task -> No File <==== ATTENTION
Task: {3054BE23-996D-4E9A-A1F5-A0F34B0227A5} - \chrome5 -> No File <==== ATTENTION
Task: {45C12A08-CCC2-4879-A51F-CE79D2E614BE} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
Task: {56953B1F-3303-48DF-B07A-F1107C81F0AC} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {6D913E26-7EC2-4449-915C-DDD6A359EBD4} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {81C81300-B162-4941-98DF-518C5D2EFDFB} - System32\Tasks\chrome5_logon => C:\Program Files (x86)\Microsoft Data\install_addons.exe
Task: {920F5922-BD09-4298-8E84-F5A423CB2CAB} - System32\Tasks\Update Service for VK Downloader => C:\Program Files (x86)\VK Downloader\1S2aIHU.exe <==== ATTENTION
Task: {9BCEDD27-C15A-4B77-9365-A13DA784F552} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {9C3D3B30-C2D8-46AA-A42C-189705CA96F9} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {B3488B59-BD53-40FF-8365-9C4D1C07ADA1} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {B54E413A-8825-4BBA-8D46-957074873445} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {BFEBBE92-2D96-4630-A674-ED7E22DC6748} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {CAF29359-C5AF-4188-A767-AC5B893EB89E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {DD9A5D30-3177-42B4-988B-D48C18E7566D} - System32\Tasks\Update Service for VK Downloader2 => C:\Program Files (x86)\VK Downloader\1S2aIHU.exe <==== ATTENTION
Task: {E36D188F-A715-4F27-A8E3-CD4875DFF27B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {E6B56820-770A-4ECA-A346-FB2D0432B962} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {FE288360-0F4F-48F6-AF8A-E7C2BB1F07CF} - \Microsoft\Windows\Setup\xtgt\refreshxtgtconfig -> No File <==== ATTENTION
Task: C:\WINDOWS\Tasks\Update Service for VK Downloader.job => C:\Program Files (x86)\VK Downloader\1S2aIHU.exe.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\Update Service for VK Downloader2.job => C:\Program Files (x86)\VK Downloader\1S2aIHU.exe.exe <==== ATTENTION
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-4288470727-2277989248-3793981798-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} -  No File
FF SearchPlugin: C:\Users\Леонид\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\conduit.xml [2012-09-24]
FF SearchPlugin: C:\Users\Леонид\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\webalta-search.xml [2012-03-12]
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - hxxp://vkplayerpro.ru/index.xml
CHR HKLM-x32\...\Chrome\Extension: [bgknpfancpeamejmcooedljjnaddldhg] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gdljkkmghdkckhaogaemgbgdfophkfco] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - hxxp://vkplayerpro.ru/index.xml
CHR HKLM-x32\...\Chrome\Extension: [mfmjpfoggikolkfilofbpgcnhdcgahib] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pfjgibhmcgncmjhdodpaolfbjpjjajal] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - hxxps://clients2.google.com/service/update2/crx
FirewallRules: [{E572E66F-78DA-4F10-B217-819C2789AD85}] => (Allow) D:\KOPLAYER\vbox\VBoxHeadless.exe No File
FirewallRules: [{F4883FFE-C474-4754-A7B9-35567C16FD0C}] => (Allow) D:\KOPLAYER\vbox\VBoxManage.exe No File
FirewallRules: [{94E4E829-BE6B-41D9-99C1-F2985582B682}] => (Allow) D:\KOPLAYER\KOPLAYER.exe No File
FirewallRules: [{B4ED1581-78FD-4243-AE4C-758F3A73BFE2}] => (Allow) D:\KOPLAYER\vbox\VBoxHeadless.exe No File
FirewallRules: [{F023F590-D2EF-4090-A13F-D7AB74A132FD}] => (Allow) D:\KOPLAYER\vbox\VBoxManage.exe No File
FirewallRules: [{7E987EA8-5C2C-40F6-A1FF-0A4771DF9DB0}] => (Allow) D:\KOPLAYER\KOPLAYER.exe No File
FirewallRules: [{218F7550-711C-4C29-A1D7-74483DE6BFE2}] => (Allow) D:\KOPLAYER\vbox\VBoxHeadless.exe No File
FirewallRules: [{E275DC43-AD97-49D2-B6EE-325939BC2770}] => (Allow) D:\KOPLAYER\vbox\VBoxManage.exe No File
FirewallRules: [{3549A184-CE41-4AD8-9060-A867DC7D43EC}] => (Allow) D:\KOPLAYER\vbox\VBoxHeadless.exe No File
FirewallRules: [{A2C687ED-2C4D-4624-A266-2C8265EA3E54}] => (Allow) D:\KOPLAYER\vbox\VBoxManage.exe No File
FirewallRules: [{AD1D8C79-4EF4-4B1A-95B2-6C9B707FD597}] => (Allow) D:\KOPLAYER\KOPLAYER.exe No File
FirewallRules: [{85916A31-6CA5-4698-8A8C-DA96C8EA9BD2}] => (Allow) D:\KOPLAYER\KOPLAYER.exe No File
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Дарья Вожжова]

Лог-файл.

Fixlog.txt

[thyrex]

Прикрепите в архиве к следующему сообщению примеры (по несколько) зашифрованных .png, .pdf, .rtf, .docx, .doc, xls, xlsx, ppt файлов.

 

Быть может найдется для какого-либо файла (например, стандартных картинок для Рабочего стола, которые записываются при установке ОС) пара шифрованный-нешифрованный. Можно тоже прислать.

[Дарья Вожжова]

Примеры зашифрованных файлов.

Новая папка.rar

[thyrex]

Ожидайте. Процесс длительный.

[thyrex]

Проверьте ЛС.

[Дарья Вожжова]

Проверьте ЛС.

Проверил. Ничего нет.

[thyrex]

Проверил. Ничего нет.

Да Вы его даже не читали. ЛС - личное сообщение.

[Дарья Вожжова]

Огромное Вам спасибо! Все фото и видео расшифровались. Проблем с другими файлами не заметили. 

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Дарья Вожжова]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 26.06.2019 11:04:04

Path starting: C:\Users\Леонид\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: Леонид

VersionXML: 6.58is-25.06.2019

___________________________________________________________________________

 

Windows 10(6.3.17134) (x64) Core Версия: 1803 Lang: Russian(0419)

Дата установки ОС: 17.06.2018 18:52:15

Статус лицензии: Windows®, Core edition Постоянная активация прошла успешно.

Режим загрузки: Normal

Браузер по умолчанию: C:\Users\Леонид\AppData\Local\Programs\Opera\Launcher.exe

Системный диск: C: ФС: [NTFS] Емкость: [185.9 Гб] Занято: [102.5 Гб] Свободно: [83.4 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.829.17134.0

Контроль учётных записей пользователя включен (Уровень 3)

Загружать автоматически обновления и устанавливать по заданному расписанию

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2007 v.12.0.6612.1000

Microsoft Office 2010 x86 v.14.0.4763.1000

---------------------------- [ Antivirus_WMI ] ----------------------------

Cezurity Antivirus Scanner (включен и обновлен)

Windows Defender (выключен и обновлен)

Kaspersky Free (включен и обновлен)

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Защитника Windows (mpssvc) - Служба работает

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Kaspersky Free (включен и обновлен)

Windows Defender (выключен и обновлен)

Cezurity Antivirus Scanner (включен и обновлен)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Kaspersky Free v.19.0.0.1088

McAfee Safe Connect v.1.3.1.128

--------------------------- [ OtherUtilities ] ----------------------------

Microsoft .NET Framework 4.5.2 v.4.5.51209 Внимание! Скачать обновления

K-Lite Mega Codec Pack 8.6.0 v.8.6.0 Внимание! Скачать обновления

TeamViewer 10 v.10.0.42849 Внимание! Скачать обновления

VLC media player v.2.2.1 Внимание! Скачать обновления

Microsoft Office Word 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

OpenOffice.org 3.3 v.3.3.9567 Внимание! Скачать обновления

ASUS Live Update v.3.1.7 Возможно Ваша система скомпроментирована.. Скачайте утилиту диагностики для проверки.

TeamViewer 10 (TeamViewer) - Служба работает

-------------------------------- [ Arch ] ---------------------------------

7-Zip 9.22 (x64 edition) v.9.22.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.

WinRAR 5.20 (32-bit) v.5.20.0 Внимание! Скачать обновления

---------------------------- [ ProxyAndVPNs ] -----------------------------

Kaspersky Secure Connection v.19.0.0.1088

--------------------------------- [ P2P ] ---------------------------------

MediaGet Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

µTorrent v.3.5.5.45231 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 151 (64-bit) v.8.0.1510.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u211-windows-x64.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe AIR v.27.0.0.124 Внимание! Скачать обновления

Adobe Flash Player 32 NPAPI v.32.0.0.207

Adobe Shockwave Player 12.2 v.12.2.9.199 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

ph v.1.0.0 << Скрыта Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

bl v.1.0.0 << Скрыта Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

swMSM v.12.0.0.1 << Скрыта Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

Adobe Acrobat Reader DC - Russian v.19.012.20034 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 67.0.4 (x64 ru) v.67.0.4

Opera Stable 60.0.3255.109 v.60.0.3255.109 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

Yandex v.19.6.1.153 Внимание! Скачать обновления

^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Google Chrome v.75.0.3770.100

----------------------------- [ EmailClient ] -----------------------------

Windows Live Mesh v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.

Windows Live Mail v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.

Почта Windows Live v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.

------------------ [ AntivirusFirewallProcessServices ] -------------------

Системная служба Cezurity Antivirus Scanner (CezurityAntivirusService) - Служба работает

C:\Program Files\Cezurity\Antivirus\CzAvSvc.exe v.4.1.15604.53437

Kaspersky Anti-Virus Service 19.0.0 (AVP19.0.0) - Служба работает

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 19.0.0\avp.exe v.19.0.0.1088

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 19.0.0\avpui.exe v.19.0.0.1088

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 3.0\ksde.exe v.19.0.0.1088

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 3.0\ksdeui.exe v.19.0.0.1088

McAfee Security Scan Component Host Service (McComponentHostService) - Служба остановлена

C:\Program Files\Windows Defender\MSASCuiL.exe v.4.13.17134.1

Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена

Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена

Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Служба остановлена

---------------------------- [ UnwantedApps ] -----------------------------

McAfee Security Scan Plus v.3.11.474.2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

McAfee True Key v.5.3.138.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Kometa v.41.0.2272.118 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Панель «Запуск Кометы» v.1.0.0.515 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Служба автоматического обновления программ Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

MediaGet Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Интернет v.28.0.1500.74 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Кнопка "Яндекс" на панели задач v.2.0.1.2130 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Менеджер браузеров v.3.0.7.830 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

2YourFace 1.0 v.1.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Tencent Gaming Buddy v.1.0.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Complitly Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

McAfee True Key (TrueKey) - Служба работает

C:\Program Files\McAfee\TrueKey\McAfee.TrueKey.Service.exe v.5.3.138.0

McAfee True Key Scheduler (TrueKeyScheduler) - Служба работает

C:\Program Files\McAfee\TrueKey\McTkSchedulerService.exe v.5.3.138.0

McAfee True Key Helper Service (TrueKeyServiceHelper) - Служба работает

C:\Program Files\McAfee\TrueKey\McAfee.TrueKey.ServiceHelper.exe v.5.3.138.0

----------------------------- [ End of Log ] ------------------------------

[thyrex]

Выполните рекомендованное, и на этом закончим.

Мы были рады Вам помочь!

Надеемся, что Вы остались довольны результатом.

На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!

Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы!

Будем рады видеть Вас в наших рядах!

Всегда ваш, фан-клуб "Лаборатории Касперского".