помогите! Вирус шифровальщик [not-a-virus:HEUR:Downloader.Win32.MediaGet.gen ]

[ландшафт]

Здравствуйте!
Вирус зашифровал все файлы на компьютере.
Пишет на рабочем столе: отправьте файл на эту почту [email protected]
Файлы стали вот такого вида:
[email protected]_graf1.ver-CL 1.0.0.0.u.id-ABCEEEFGHIJJJKKLLMNNNNOPPQQRSSSSTUUV-05.04.2016 11@25@385736497@@@@@6468-87B7.random...IIJJKKK.LLM.cb

Можно ли с этим справиться?

[Info_bot]

Уважаемый(ая) ландшафт, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

Сами ставили MediaGet2?

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Program Files (x86)\iTVA\LoviVkontakte2\lvk2.exe','');
 QuarantineFile('C:\Program Files (x86)\service.exe','');
 QuarantineFile('C:\Users\пользователь\AppData\Local\MediaGet2\icudt53.dll','');
 QuarantineFile('c:\users\пользователь\appdata\local\mediaget2\mediaget.exe','');
 QuarantineFile('C:\Windows\system32\DRIVERS\GdmFilt.sys','');
 QuarantineFile('C:\Windows\System32\Drivers\TFsExDisk.sys','');
 DeleteFile('C:\Program Files (x86)\service.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
 BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте новый лог AVZ согласно правилам.

[ландшафт]

MediaGet2 не ставили.
Карантин отправили по ссылке.

[SQ]

MediaGet2 не ставили.

Удалите MediaGet2 через установку программ в панели управления.

- Подготовьте лог AdwCleaner и приложите его в теме.

[ландшафт]

Удалили.
Отчет

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[ландшафт]

Удалили всё.

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[ландшафт]

Отчёт

- - - - -Добавлено - - - - -

Второй отчёт:

[SQ]

Знакома настройка прокси?

ProxyEnable: [.DEFAULT] => Proxy is enabled.
ProxyServer: [.DEFAULT] => http=127.0.0.1:8080

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
  BHO-x32: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll => No File
  BHO-x32: PhDHelp Class -> {C5BF9CA7-669F-4C41-BEE3-4DF388530422} -> C:\Program Files (x86)\VKMus\vkmus.dll => No File
  Toolbar: HKLM-x32 - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll No File
  Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  Toolbar: HKU\S-1-5-21-919713473-178675085-1614418455-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  Toolbar: HKU\S-1-5-21-919713473-178675085-1614418455-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
  CHR HKU\S-1-5-21-919713473-178675085-1614418455-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fkkcgfbgohboipdhliafmacjnhjbhmim] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
  2016-04-06 13:40 - 2016-04-06 13:40 - 00927422 _____ C:\Program Files (x86)\desk.bmp
  2016-04-05 11:25 - 2016-04-06 13:40 - 00000095 _____ C:\Program Files (x86)\WKBTNESPGR.FEA
  2016-04-04 11:43 - 2016-04-04 11:43 - 00000065 _____ C:\Program Files (x86)\OUGNKOJWIA.XUW
  Folder: C:\Program Files (x86)\Ultra compressed
  File: C:\Users\пользователь\intlname.ols
  2016-04-06 13:40 - 2016-04-06 13:40 - 0927422 _____ () C:\Program Files (x86)\desk.bmp
  2016-04-06 13:40 - 2016-04-06 13:40 - 0153239 _____ () C:\Program Files (x86)\desk.jpg
  2016-04-04 11:43 - 2016-04-04 11:43 - 0000065 _____ () C:\Program Files (x86)\OUGNKOJWIA.XUW
  2016-04-05 11:25 - 2016-04-06 13:40 - 0000095 _____ () C:\Program Files (x86)\WKBTNESPGR.FEA
  C:\Users\пользователь\AppData\Local\Temp\mediaget-uninstaller.exe
  C:\Users\пользователь\AppData\Local\Temp\sender.exe
  C:\Users\пользователь\AppData\Local\Temp\service.exe
  C:\Users\пользователь\AppData\Local\Temp\updater.exe
  CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll (Google Inc.)
  CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll (Google Inc.)
  CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll => No File
  Task: {0E78377C-A197-42CA-B520-E593BB52D9B4} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION
  HKU\S-1-5-21-919713473-178675085-1614418455-1000\Control Panel\Desktop\\Wallpaper -> C:\Program Files (x86)\desk.bmp
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[ландшафт]

Попробовали настроить прокси. Выдает фразу: Прокси сервер отказывается принимать соединения. Отключили снова.

[SQ]

С расшифровкой не поможем.

[ландшафт]

Спасибо! Баннер с рабочего стола исчез.

[SQ]

Спасибо! Баннер с рабочего стола исчез.

Всё вредоносное ПО как и баннер находяться в каталоге C:\FRST\QUARANTINE, до тех пор пока не решите вопрос с расшифровкой не удаляйте указанный каталог.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\пользователь\appdata\local\mediaget2\medi aget.exe - not-a-virus:HEUR:Downloader.Win32.MediaGet.gen