Лечение перед расшифровкой

**Barmaley** · 02.01.2017, 11:58

Здравствуйте. Летом 2016 программа шифровальщик зашифровала файлы на компьютере, доступа к нему не было, только сейчас появилась возможность что-то попробовать сделать. Выполнил инструкцию по лечению перед расшифровкой. Архив почему-то не прикрепляется, нажал управление вложениями - добавить файл - выбрал его - загрузить, колесо загрузки крутнулось и всё. В прикреплённых файлах его нет. Отправляю с другого компьютера, с разных браузеров, результат один...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 02.01.2017, 11:59

Уважаемый(ая) Barmaley, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 02.01.2017, 12:08

Здравствуйте,

Уточните пожалуйста размер архива, который пытаетесь прикрепить?

**Barmaley** · 02.01.2017, 12:59

58кб

SQ · 02.01.2017, 13:03

Уточните пожалуйста, с помощью какого браузера пытаетесь загрузить и какой антивирусный продукт Вами используется?

**Barmaley** · 02.01.2017, 13:17

пытаюсь с мозилы и гугл хром, установлен Outpost Security Suite Pro, но я его отключил..

- - - - -Добавлено - - - - -

может, прислать запрошенный карантин...? через это попробовать?
CollectionLog-2017.01.02-14.30 это тот архив который нужно прислать?

SQ · 02.01.2017, 14:04

Как временное решение загрузите на файловое хранилище (яндекс, гугле и т.п.) и приложите ссылку для скачивания.

**Barmaley** · 02.01.2017, 14:08

https://drive.google.com/file/d/0Bzn...ew?usp=sharing

SQ · 02.01.2017, 14:32

Здравствуйте,

Удалите Iobit через установку программ в панели управления.

HiJackThis (из каталога автологгера) профиксить

Код:

R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command, = C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1426920703&from=face&uid=WDCXWD5000AAKS-22V1A0_WD-WCAWF671227012270
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1426921189&from=cmi&uid=WDCXWD5000AAKS-22V1A0_WD-WCAWF671227012270
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1426921189&from=cmi&uid=WDCXWD5000AAKS-22V1A0_WD-WCAWF671227012270&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1426921189&from=cmi&uid=WDCXWD5000AAKS-22V1A0_WD-WCAWF671227012270&q={searchTerms}
O2-32 - BHO: (no name) - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - (no file)
O4 - HKLM\..\Run: [pr] C:\Program Files (x86)\service.exe
O22 - ScheduledTask: (Ready) APSnotifierPP1 - {root} - C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe --notifier 3A (file missing)
O22 - ScheduledTask: (Ready) APSnotifierPP2 - {root} - C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe --notifier 4 (file missing)
O22 - ScheduledTask: (Ready) APSnotifierPP3 - {root} - C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe --notifier 6 (file missing)

Удалите или переделайте ярлыки:

Код:

"C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа.lnk"         -> ["C:\Windows\system32\cmd.exe"  =>> /C "c:\program files (x86)\opera\opera.bat"] -> ( OPERA.BAT  не существует )
"C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mоzillа Firеfох.lnk"         -> ["C:\Windows\system32\cmd.exe"  =>> /C "c:\program files (x86)\mozilla firefox\firefox.bat"] -> ( FIREFOX.BAT  не существует )
"C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk"

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\admin\appdata\roaming\03000200-1426919866-0500-0006-000700080009\nsyf845.tmp');
 StopService('bonifyde');
 StopService('pfnfd_1_10_0_11');
 DeleteService('bonifyde');
 DeleteService('pfnfd_1_10_0_11');
 QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','');
 QuarantineFile('C:\Program Files (x86)\service.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\03000200-1426919866-0500-0006-000700080009\nsyF845.tmp','');
 QuarantineFile('c:\users\admin\appdata\roaming\03000200-1426919866-0500-0006-000700080009\nsyf845.tmp','');
 QuarantineFile('C:\Windows\system32\drivers\pfnfd_1_10_0_11.sys','');
 DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\Program Files (x86)\service.exe','32');
 DeleteFile('c:\users\admin\appdata\roaming\03000200-1426919866-0500-0006-000700080009\nsyf845.tmp','32');
 DeleteFile('C:\Users\Admin\AppData\Roaming\03000200-1426919866-0500-0006-000700080009\nsyF845.tmp','32');
 DeleteFile('C:\Windows\system32\drivers\pfnfd_1_10_0_11.sys','32');
 ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP1" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP2" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP3" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{29F6307B-968F-4C21-8435-3879A3A29F98}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{E4004FC3-9E34-41F3-BF71-A3D844E61749}" /F', 0, 15000, true);
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

**Barmaley** · 02.01.2017, 15:04

Всё сделал, файл карантина AVZ отправил, https://drive.google.com/file/d/0Bzn...ew?usp=sharing ссылка на отчёт AdwCleaner.

SQ · 02.01.2017, 15:17

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**Barmaley** · 02.01.2017, 15:59

Сообщение от SQ

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

https://drive.google.com/file/d/0Bzn...ew?usp=sharing вот ссылка отчёта

SQ · 02.01.2017, 19:05

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Barmaley** · 02.01.2017, 19:37

https://drive.google.com/file/d/0Bzn...ew?usp=sharing Addition.txt сделал прикрепил..

SQ · 02.01.2017, 21:27

Где лог FRST.txt , также пробуйте прикрепить к сообщению.

**Barmaley** · 03.01.2017, 11:34

https://drive.google.com/file/d/0Bzn...ew?usp=sharing FRST.txt

SQ · 03.01.2017, 13:09

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
FF Extension: (No Name) -  C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{582195F5-92E7-40a0-A127-DB71295901D7}.xpi [not found]
FF Extension: (No Name) -  C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}.xpi [not found]
FF Extension: (No Name) -  C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{1BC9BA34-1EED-42ca-A505-6D2F1A935BBB} [not found]
FF Extension: (No Name) -  C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{3d7eb24f-2740-49df-8937-200b1cc08f8a} [not found]
FF Extension: (No Name) -  C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} [not found]
FF Extension: (No Name) -  C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{cd617375-6743-4ee8-bac4-fbf10f35729e}.xpi [not found]
FF Extension: (No Name) -  C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{dc572301-7619-498c-a57d-39143191b318}.xpi [not found]
FF Extension: (No Name) -  C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\[email protected] [not found]
FF Extension: (No Name) -  C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\[email protected] [not found]
FF Extension: (No Name) -  C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
FF Extension: (No Name) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\[email protected] [not found]
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
2015-03-21 12:38 - 2015-03-21 12:38 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
2016-04-11 17:09 - 2016-04-11 17:09 - 0927422 _____ () C:\Program Files (x86)\desk.bmp
2016-04-11 17:09 - 2016-04-11 17:09 - 0149043 _____ () C:\Program Files (x86)\desk.jpg
2016-04-11 14:14 - 2016-04-11 17:09 - 0000081 _____ () C:\Program Files (x86)\ZBTWCWLMNR.YNJ
2016-01-06 13:04 - 2016-01-06 13:04 - 0000000 _____ () C:\Users\Admin\AppData\Roaming\Microsoft\BE2F.tmp
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Barmaley** · 03.01.2017, 15:14

https://drive.google.com/file/d/0Bzn...ew?usp=sharing Fixlog.txt

SQ · 03.01.2017, 15:28

Уточните пожалуйста расширение у зашифрованных файлов.

**Barmaley** · 03.01.2017, 15:33

.cbf

Лечение перед расшифровкой (заявка № 207605)

Опции темы