Вируз зашифровал информацию.

[npi]

Здравствуйте!
Вирус сработал со сканируемого компа.
Сканирование проводилось из под WIN PE, так как при загрузке инфицированной системы утилита удаляется.
Основная зашифрованная информация (документы) находится на сетевом диске.
Есть ли какая надежда?

Спасибо!

[Info_bot]

Уважаемый(ая) npi, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Такие логи бесполезны.

Что стало с именами пострадавших файлов?

[npi]

Здравствуйте!
Вирус сработал со сканируемого компа.
Сканирование проводилось из под WIN PE, так как при загрузке инфицированной системы утилита удаляется.
Основная зашифрованная информация (документы) находится на сетевом диске.
Есть ли какая надежда?

Спасибо!

С бесполезностью логов согласен. Посоветуйте как сделать правильно.
Прикрепляю один зашифрованный файл. Остальные аналогично переименованы

[npi]

С бесполезностью логов согласен. Посоветуйте как сделать правильно.
Прикрепляю один зашифрованный файл. Остальные аналогично переименованы

- - - - -Добавлено - - - - -

Просканировал в режиме "диагностический запуск"
Пакже прикрепляю запрошенные файлы crypo.ms12

- - - - -Добавлено - - - - -

Случайно добавил в предыдущий пост.

[thyrex]

Выполните скрипт в AVZ из папки Autologger

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\chrome64.exe','');
 QuarantineFile('C:\Windows\System32\chrome64.exe','');
 DeleteFile('C:\Windows\System32\chrome64.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\chrome64.exe','x64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\chrome64.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\chrome64.exe','64');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^chrome64.exe','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[npi]

Новые логи.
quarantine.zip почему-то пустой (1к).

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[npi]

Спасибо. Отсканировал FRST/

[thyrex]

Увы, расшифровки не будет.

1. Выделите следующий код:

Код:

Start::
CreateRestorePoint:
2019-03-29 08:58 - 2019-03-29 18:33 - 000094720 _____ C:\Users\Admin\AppData\Roaming\chrome64.exe
2019-03-28 20:17 - 2019-04-03 12:44 - 000013908 _____ C:\Windows\system32\Info.hta
2019-03-28 20:17 - 2019-03-28 20:17 - 000013908 _____ C:\Users\Петр\AppData\Roaming\Info.hta
2019-03-28 20:16 - 2019-04-03 12:44 - 000000202 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2019-03-28 20:16 - 2019-04-03 12:44 - 000000202 _____ C:\FILES ENCRYPTED.txt
2019-03-29 14:42 - 2019-04-03 12:44 - 000013908 _____ C:\Users\Admin\AppData\Roaming\Info.hta
2019-03-29 14:42 - 2019-04-03 12:44 - 000000202 _____ C:\Users\Admin\Desktop\FILES ENCRYPTED.txt
2019-03-28 20:16 - 2019-03-28 20:16 - 000000202 _____ C:\Users\Петр\Desktop\FILES ENCRYPTED.txt
AlternateDataStreams: C:\Users\Admin\NTUSER.DAT:{74C1032D-C12F-7175-0764-1C5840368A86} [48]
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[npi]

Если расшифровки не будет, тогда чем занимаемся?

[thyrex]

Чисткой мусора. На этом и закончим.