Шифровальщик [email protected]

[Qwede]

Зашифрован ПК.
Вирус запустился через автозагрузку после перезагрузки.
Имя 1pgp.exe - есть в наличии.

Могу выложить один и то-же файл зашифрованный и нет (был в почте).

Какие перспективы?

[Info_bot]

Уважаемый(ая) Qwede, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

С расшифровкой не поможем.
Если нужно почистить шифровальщик и мусор после него - выполняйте указания.

Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files\rdp wrapper\rdpwrap.dll', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\1pgp.exe', '');
 QuarantineFile('C:\Users\GlavBuh\AppData\Roaming\1pgp.exe', '');
 QuarantineFile('C:\Users\GlavBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe', '');
 QuarantineFile('C:\Users\GlavBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-E64AF15E.[[email protected]].pgp', '');
 QuarantineFile('C:\Users\Konstantin\AppData\Roaming\1pgp.exe', '');
 QuarantineFile('C:\Users\Konstantin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe', '');
 QuarantineFile('C:\Windows\System32\1pgp.exe', '');
 DeleteFile('C:\Program Files\rdp wrapper\rdpwrap.dll', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-E64AF15E.[[email protected]].pgp', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\1pgp.exe', '');
 DeleteFile('C:\Users\GlavBuh\AppData\Roaming\1pgp.exe', '32');
 DeleteFile('C:\Users\GlavBuh\AppData\Roaming\1pgp.exe', '64');
 DeleteFile('C:\Users\GlavBuh\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\GlavBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_move.bat.id-E64AF15E.[[email protected]].pgp', '64');
 DeleteFile('C:\Users\GlavBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe', '');
 DeleteFile('C:\Users\GlavBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe', '64');
 DeleteFile('C:\Users\GlavBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-E64AF15E.[[email protected]].pgp', '64');
 DeleteFile('C:\Users\GlavBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\Konstantin\AppData\Roaming\1pgp.exe', '32');
 DeleteFile('C:\Users\Konstantin\AppData\Roaming\1pgp.exe', '64');
 DeleteFile('C:\Users\Konstantin\AppData\Roaming\Info.hta', '32');
 DeleteFile('C:\Users\Konstantin\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\Konstantin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe', '64');
 DeleteFile('C:\Users\Konstantin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Windows\System32\1pgp.exe', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 DeleteService('IObitUnlocker');
 DeleteFileMask('c:\program files\rdp wrapper', '*', true);
 DeleteDirectory('c:\program files\rdp wrapper');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1pgp.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1pgp.exe', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', '1pgp.exe', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\GlavBuh\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-13550738-3370126432-2775570812-1005\Software\Microsoft\Windows\CurrentVersion\Run', '1pgp.exe', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-13550738-3370126432-2775570812-1005\Software\Microsoft\Windows\CurrentVersion\Run', '1pgp.exe', '64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-13550738-3370126432-2775570812-1005\Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Konstantin\AppData\Roaming\Info.hta', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-13550738-3370126432-2775570812-1005\Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Konstantin\AppData\Roaming\Info.hta', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).