Вирус-шифровальшик crypted000007

[Yafet]

Доброго времени суток! 
На работе бухгалтер поймала на комп вирус-шифровальщик, открыв какое-то сообщение в почте. Зашифровало кучу файлов. Но есть один особенно важный. Можно ли расшифровать хотя бы его? Или хотя бы почистить комп от вируса?

Архив с логами прилагается. Заранее благодарен!

CollectionLog-2019.07.10-16.27.zip

[thyrex]

Здравствуйте.

 

Расшифровки нет. Только чистка от вирусов.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\programdata\resources\svchost.exe');
 TerminateProcessByName('C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE');
 TerminateProcessByName('c:\programdata\services\csrss.exe');
 TerminateProcessByName('c:\programdata\drivers\csrss.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 QuarantineFile('c:\programdata\services\csrss.exe','');
 QuarantineFile('c:\programdata\drivers\csrss.exe','');
 QuarantineFile('C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE','');
 QuarantineFile('c:\programdata\resources\svchost.exe','');
 DeleteFile('c:\programdata\resources\svchost.exe','32');
 DeleteFile('C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE','32');
 DeleteFile('c:\programdata\drivers\csrss.exe','32');
 DeleteFile('c:\programdata\services\csrss.exe','32');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MinerGateGui','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Command Line Support','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hh.exe','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Session Manager','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MinerGateGui','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Session Manager','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Command Line Support','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hh.exe','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[Yafet]

Большое Вам спасибо!