Вирус шифровальщики

Sandor · Отправлено: **13:36, 09-06-2017** | #2

Здравствуйте!

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

Paje · Отправлено: **13:50, 09-06-2017** | #3

Спасибо! Вот что получилось!

Sandor · Отправлено: **13:59, 09-06-2017** | #4

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\АсКомп\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SynRemoveUserSettings.bat', '');
 DeleteFile('C:\Users\АсКомп\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SynRemoveUserSettings.bat', '32');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Paje · Отправлено: **14:09, 09-06-2017** | #5

Карантин. Скан проводится...

Sandor · Отправлено: **14:13, 09-06-2017** | #6

Отправьте его одним из предложенных способов и, если сможете, удалите из своего сообщения.

Paje · Отправлено: **14:29, 09-06-2017** | #7

ADWCleaner[C0] После удаления, другие два, до удаления. Понял!

Sandor · Отправлено: **14:33, 09-06-2017** | #8

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Paje · Отправлено: **15:11, 09-06-2017** | #9

Farbar scan

Sandor · Отправлено: **15:21, 09-06-2017** | #10

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
ShellExecuteHooks: No Name - {8016939C-D3F3-11E6-A8C2-64006A5CFC35} -  -> No File
ShellExecuteHooks: No Name - {8F3A9CCC-D3F4-11E6-AF41-64006A5CFC35} -  -> No File
ShellExecuteHooks: No Name - {248F8E34-D3F6-11E6-B993-64006A5CFC35} -  -> No File
ShellExecuteHooks: No Name - {C0015576-D3F8-11E6-AD46-64006A5CFC35} -  -> No File
ShellExecuteHooks: No Name - {894E887A-D3F9-11E6-89DF-64006A5CFC35} -  -> No File
ShellExecuteHooks: No Name - {C5E9BD50-D3FB-11E6-9B39-64006A5CFC35} -  -> No File
ShellExecuteHooks: No Name - {60C07DC0-D3FC-11E6-80D3-64006A5CFC35} -  -> No File
ShellExecuteHooks: No Name - {02EE1868-DB95-11E6-80F3-64006A5CFC23} -  -> No File
ShellExecuteHooks: No Name - {881BAA28-DB96-11E6-9F63-64006A5CFC23} -  -> No File
ShellExecuteHooks: No Name - {D4BA1A94-DB97-11E6-B661-64006A5CFC23} -  -> No File
ShellExecuteHooks: No Name - {0AAE96C8-DE2A-11E6-9E44-64006A5CFC35} -  -> No File
ShellExecuteHooks: No Name - {62AC4806-DC66-11E6-9D92-64006A5CFC23} -  -> No File
ShellExecuteHooks: No Name - {62B8A4F4-DE3C-11E6-A1B0-64006A5CFC23} -  -> No File
ShellExecuteHooks: No Name - {D1CD7500-DE3D-11E6-8016-64006A5CFC23} -  -> No File
ShellExecuteHooks: No Name - {F0643B92-DE3E-11E6-ADF0-64006A5CFC23} -  -> No File
ShellExecuteHooks: No Name - {7FBEA058-DE40-11E6-83E9-64006A5CFC23} -  -> No File
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} =>  -> No File
BHO: HP Network Check Helper -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> No File
BHO-x32: HP Network Check Helper -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> No File
S4 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [629648 2017-02-21] () <==== ATTENTION
S4 UCBrowserGubed; rundll32.exe "C:\Program Files (x86)\UCBrowser\UCBrowserGubed.dll",soeasy [X]
2017-06-09 19:28 - 2017-06-09 19:28 - 00002560 _____ C:\Windows\System32\Tasks\UCBrowserUpdaterCore
2017-06-09 19:28 - 2017-06-09 19:28 - 00000294 _____ C:\Windows\Tasks\UCBrowserUpdaterCore.job
Task: {32AD929B-5967-4B80-8092-F97479E70B72} - System32\Tasks\Microsoft\Windows\Multimedia\MailruSetup => C:\Users\АсКомп\AppData\Local\MailruSetup\MailruSetup.exe <==== ATTENTION
Task: {5AD7FA09-E315-4959-8487-A6A1EFE9ACCE} - System32\Tasks\Microsoft\Windows\A5C3550AF-EDD0-4351-BF89-2EC7D99689D7 => C:\Users\АсКомп\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\4231B766-8E72-47F2-B94C-A149B700C764.exe <==== ATTENTION
Task: {70B37E0C-2927-410B-9564-A8BA72351926} - System32\Tasks\Google Update => C:\Users\АсКомп\AppData\Local\Google\Desktop\Install\{5078db94-26db-ee12-6096-8dbfccc136e4}\❤≸⋙\Ⱒ☠⍨\*ﯹ๛\{5078db94-26db-ee12-6096-8dbfccc136e4}\GoogleUpdate.exe <==== ATTENTION
Task: {AFC2FC9B-C9CC-4E29-BCDD-4A36D612FAFC} - System32\Tasks\Microsoft\Windows\Google\GoogleUpdateTaskMachine => C:\Users\АсКомп\AppData\Roaming\Microsoft\Video\rizotto.exe <==== ATTENTION
Task: {CDDD48A0-B66E-4140-AD31-A3A578189EF3} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-02-21] (UCWeb Inc) <==== ATTENTION
Task: {F668DDCA-BC42-4CAA-BA2C-2E4EA1CC34E5} - System32\Tasks\ucbrowserupdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-02-21] (UCWeb Inc) <==== ATTENTION
Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Файл

Цитата:

C:\Users\АсКомп\Desktop\0_HELP_DECRYPT_FILES.html

вместе с парой поврежденных документов упакуйте и тоже прикрепите к следующему сообщению.