Шифровальщик [email protected] 1.3.1.0

[Андрей Шут]

Добрый день!

Хотелось бы получить помощь от хелперов в связи с этой заразой.

Я вернулся из отпуска и обнаружил этот вирус у себя на компьютере.

Что удивительно - заражены были только jpeg/jpg файлы.

Присылаю вам пару примеров зашифрованных файлов.

https://yadi.sk/d/SiHnQPwFyHUxZ

Спасибо.

[Info_bot]

Уважаемый(ая) Андрей Шут, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Начните с http://virusinfo.info/pravila.html

[Андрей Шут]

AVZ Log
Hijack Logs

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Андрей Шут]

Отчёты

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1419065214&from=adc&uid=KINGSTONXSVP200S37A60G_50026B722B03E2BF","hxxp://mail.ru/cnt/10445?gp=openpart3","hxxp://mail.ru/cnt/10445?gp=ticno2","hxxp://www.mystartsearch.com/?type=hp&ts=1435232231&z=012983808ddd7add692ff07gez7c7w6obc1o9oec8o&from=cmi&uid=KINGSTONXSVP200S37A60G_50026B722B03E2BF","hxxp://mail.ru/cnt/10445?gp=mp4","hxxp://mail.ru/cnt/10445?gp=openpart4","hxxp://mail.ru/cnt/10445?gp=811036"
CHR Extension: (Chrome Media Router) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-10-24]
S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [859816 2016-11-08] (Enigma Software Group USA, LLC.)
S2 DHCPServer; "D:\inst\DHCP\dhcpsrv.exe" -service [X]
2016-11-08 22:55 - 2016-11-08 22:55 - 00003442 _____ C:\Windows\System32\Tasks\SpyHunter4Startup
2016-11-08 22:55 - 2016-11-08 22:55 - 00001132 _____ C:\Users\Admin\Desktop\SpyHunter.lnk
2016-11-08 22:55 - 2016-11-08 22:55 - 00000000 ____D C:\Users\Admin\AppData\Roaming\Enigma Software Group
2016-11-08 22:55 - 2016-11-08 22:55 - 00000000 ____D C:\sh4ldr
2016-11-08 22:53 - 2016-11-08 22:53 - 00022704 _____ C:\Windows\system32\Drivers\EsgScanner.sys
2016-11-08 22:52 - 2016-11-08 22:52 - 00000000 ____D C:\Program Files\Enigma Software Group
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Public\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Public\Downloads\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\defaultuser0\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\defaultuser0\Downloads\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\defaultuser0\Documents\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\defaultuser0\Desktop\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\defaultuser0\AppData\Roaming\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\defaultuser0\AppData\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\defaultuser0\AppData\LocalLow\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\defaultuser0\AppData\Local\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Default\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Default\Downloads\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Default\Documents\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Default\Desktop\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Default\AppData\Roaming\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Default\AppData\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Default\AppData\Local\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Default User\Downloads\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Default User\Documents\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Default User\Desktop\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Default User\AppData\Roaming\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Default User\AppData\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Default User\AppData\Local\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Admin\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Admin\Downloads\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Admin\Documents\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Admin\AppData\Roaming\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Admin\AppData\README.txt
2016-10-15 13:39 - 2016-10-15 13:39 - 00000400 _____ C:\README.txt
2016-10-15 13:38 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Все пользователи\README.txt
2016-10-15 13:38 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Public\Documents\README.txt
2016-10-15 13:38 - 2016-10-15 13:39 - 00000400 _____ C:\Users\Admin\AppData\Local\README.txt
2016-10-15 13:38 - 2016-10-15 13:39 - 00000400 _____ C:\ProgramData\README.txt
2016-10-15 13:38 - 2016-10-15 13:39 - 00000400 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2016-10-15 13:38 - 2016-10-15 13:38 - 00000400 _____ C:\Users\Admin\AppData\LocalLow\README.txt
2016-10-15 13:38 - 2016-10-15 13:38 - 00000400 _____ C:\Program Files\README.txt
2016-10-15 13:38 - 2016-10-15 13:38 - 00000400 _____ C:\Program Files\Common Files\README.txt
2016-10-15 13:38 - 2016-10-15 13:38 - 00000400 _____ C:\Program Files (x86)\README.txt
2016-10-15 12:59 - 2016-10-15 13:39 - 00000095 _____ C:\Program Files (x86)\CEAF-7F3D
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Андрей Шут]

Log

[thyrex]

Проверьте ЛС

[Андрей Шут]

Добрый,
Подписка оформлена!

Ожидаю помощь

[thyrex]

Тему в Помогите+ создайте