Решена с расшифровкой. Файлы зашифрованы (.wncry)

[Vladimir21]

Здравствуйте!
Зашифрованы все .doc, .xls, и .jpg
Всем файлам добавилось расширение .wncry
Помогите пожалуйста расшифровать!
Логи прикрепил.

 

[Sandor]

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare 9
Driver Booster 3.3
IObit Malware Fighter 4
IObit Uninstaller
Smart Defrag 3

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.


Поищите пару: зашифрованный и его не зашифрованный оригинал. Ищите второй среди резервных копий, в почте, на других ПК и т.п. Размер файлов должен почти совпадать.

 

[Vladimir21]

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.


Поищите пару: зашифрованный и его не зашифрованный оригинал. Ищите второй среди резервных копий, в почте, на других ПК и т.п. Размер файлов должен почти совпадать.

Вот отчет и пара файлов в архиве

 

[akok]

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

 

[Vladimir21]

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

Удалил все кроме mail
Отчет приложил

 

[Sandor]

Отчет об очистке содержит символ [Cx], а не [Sx] (x - цифра).

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Vladimir21]

Отчет об очистке содержит символ [Cx], а не [Sx] (x - цифра).

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Вот отчеты

 

[Sandor]

Отчета очистки AdwCleaner по-прежнему нет

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-306808497-1370905628-3767074221-1001\...\MountPoints2: E - E:\SISetup.exe
  HKU\S-1-5-21-306808497-1370905628-3767074221-1001\...\MountPoints2: {1542292c-4c1b-11e3-a8b7-6466b3031828} - F:\AutoRun.exe {D2D77DC2-8299-11D1-8949-444553540000} 5.2066.1.A14B03 PID_0083 {01D42BF0-ED08-463f-8A28-99EB6FEE962B}
  HKU\S-1-5-18\...\Run: [Advanced SystemCare 9] => "C:\Program Files\IObit\Advanced SystemCare\ASCTray.exe" /Auto
  SearchScopes: HKU\S-1-5-21-306808497-1370905628-3767074221-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?utf8in=1&fr=ietb&q={SearchTerms}
  SearchScopes: HKU\S-1-5-21-306808497-1370905628-3767074221-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?utf8in=1&fr=ietb&q={SearchTerms}
  Toolbar: HKU\S-1-5-21-306808497-1370905628-3767074221-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
  FF DefaultSearchEngine: Mozilla\Firefox\Profiles\1pvp851r.default-1490074736492 -> Поиск@Mail.Ru
  2017-11-12 04:05 - 2017-11-12 04:05 - 000006535 _____ C:\Users\buh10\Инструкции по восстановлению.TXT
  2017-11-12 01:30 - 2017-11-12 01:30 - 000006535 _____ C:\Users\Все пользователи\Инструкции по восстановлению.TXT
  2017-11-12 01:30 - 2017-11-12 01:30 - 000006535 _____ C:\ProgramData\Инструкции по восстановлению.TXT
  2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\vladmih\Инструкции по восстановлению.TXT
  2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\Public\Инструкции по восстановлению.TXT
  2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\Public\Downloads\Инструкции по восстановлению.TXT
  2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\Public\Documents\Инструкции по восстановлению.TXT
  2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\Default\Инструкции по восстановлению.TXT
  2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\buh3\Инструкции по восстановлению.TXT
  2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\buh3\Downloads\Инструкции по восстановлению.TXT
  2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\buh3\Documents\Инструкции по восстановлению.TXT
  2017-11-12 01:26 - 2017-11-12 04:05 - 000006535 _____ C:\Users\buh10\Desktop\Инструкции по восстановлению.TXT
  2017-11-12 01:26 - 2017-11-12 01:26 - 000006535 _____ C:\Users\buh3\Desktop\Инструкции по восстановлению.TXT
  2017-11-12 01:25 - 2017-11-12 01:25 - 000006535 _____ C:\Инструкции по восстановлению.TXT
  2017-11-14 15:49 - 2013-10-29 15:31 - 000000000 ____D C:\Program Files\IObit
  2017-11-14 15:44 - 2016-06-07 16:32 - 000000000 ____D C:\Program Files\Common Files\IObit
  2017-11-14 15:44 - 2016-04-04 05:55 - 000000000 ____D C:\IObit
  2017-11-14 15:44 - 2015-01-16 08:33 - 000000000 ____D C:\Users\buh10\AppData\Roaming\IObit
  2017-11-14 15:44 - 2014-09-09 15:35 - 000000000 ____D C:\Users\vladmih\AppData\Roaming\IObit
  2017-11-14 15:44 - 2013-10-29 15:31 - 000000000 ____D C:\Users\Все пользователи\IObit
  2017-11-14 15:44 - 2013-10-29 15:31 - 000000000 ____D C:\Users\buh3\AppData\Roaming\IObit
  2017-11-14 15:44 - 2013-10-29 15:31 - 000000000 ____D C:\Users\buh3\AppData\LocalLow\IObit
  2017-11-14 15:44 - 2013-10-29 15:31 - 000000000 ____D C:\ProgramData\IObit
  ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  ContextMenuHandlers1: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} => C:\Windows\system32\IObitSmartDefragExtension.dll -> No File
  ContextMenuHandlers6: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} => C:\Windows\system32\IObitSmartDefragExtension.dll -> No File
  Task: {50D08997-D46D-4ECF-A647-B5C3B705F29F} - System32\Tasks\Driver Booster SkipUAC (buh3) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe
  Task: {D745007A-E809-4F95-8F1A-4876D52F54B6} - System32\Tasks\Driver Booster SkipUAC (vladmih) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe
  FirewallRules: [{905D4061-B32C-4D91-B898-1947386FFEC8}] => (Allow) C:\Program Files\IObit\Driver Booster\DriverBooster.exe
  FirewallRules: [{E704D119-5023-41D6-A878-6219E7A213DA}] => (Allow) C:\Program Files\IObit\Driver Booster\DriverBooster.exe
  FirewallRules: [{A9175FCC-605E-4837-B6AB-D72229C36A8D}] => (Allow) C:\Program Files\IObit\Driver Booster\DBDownloader.exe
  FirewallRules: [{16C53621-3D80-4853-ACAF-EA3C9AB2580B}] => (Allow) C:\Program Files\IObit\Driver Booster\DBDownloader.exe
  FirewallRules: [{F359F50C-B0E5-40FC-9C5A-83C74E261451}] => (Allow) C:\Program Files\IObit\Driver Booster\AutoUpdate.exe
  FirewallRules: [{99C9FB5B-2A24-4CC0-9830-0A52A8FD74E1}] => (Allow) C:\Program Files\IObit\Driver Booster\AutoUpdate.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Vladimir21]

Отчета очистки AdwCleaner по-прежнему нет

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-306808497-1370905628-3767074221-1001\...\MountPoints2: E - E:\SISetup.exe
  HKU\S-1-5-21-306808497-1370905628-3767074221-1001\...\MountPoints2: {1542292c-4c1b-11e3-a8b7-6466b3031828} - F:\AutoRun.exe {D2D77DC2-8299-11D1-8949-444553540000} 5.2066.1.A14B03 PID_0083 {01D42BF0-ED08-463f-8A28-99EB6FEE962B}
  HKU\S-1-5-18\...\Run: [Advanced SystemCare 9] => "C:\Program Files\IObit\Advanced SystemCare\ASCTray.exe" /Auto
  SearchScopes: HKU\S-1-5-21-306808497-1370905628-3767074221-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?utf8in=1&fr=ietb&q={SearchTerms}
  SearchScopes: HKU\S-1-5-21-306808497-1370905628-3767074221-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?utf8in=1&fr=ietb&q={SearchTerms}
  Toolbar: HKU\S-1-5-21-306808497-1370905628-3767074221-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
  FF DefaultSearchEngine: Mozilla\Firefox\Profiles\1pvp851r.default-1490074736492 -> Поиск@Mail.Ru
  2017-11-12 04:05 - 2017-11-12 04:05 - 000006535 _____ C:\Users\buh10\Инструкции по восстановлению.TXT
  2017-11-12 01:30 - 2017-11-12 01:30 - 000006535 _____ C:\Users\Все пользователи\Инструкции по восстановлению.TXT
  2017-11-12 01:30 - 2017-11-12 01:30 - 000006535 _____ C:\ProgramData\Инструкции по восстановлению.TXT
  2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\vladmih\Инструкции по восстановлению.TXT
  2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\Public\Инструкции по восстановлению.TXT
  2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\Public\Downloads\Инструкции по восстановлению.TXT
  2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\Public\Documents\Инструкции по восстановлению.TXT
  2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\Default\Инструкции по восстановлению.TXT
  2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\buh3\Инструкции по восстановлению.TXT
  2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\buh3\Downloads\Инструкции по восстановлению.TXT
  2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\buh3\Documents\Инструкции по восстановлению.TXT
  2017-11-12 01:26 - 2017-11-12 04:05 - 000006535 _____ C:\Users\buh10\Desktop\Инструкции по восстановлению.TXT
  2017-11-12 01:26 - 2017-11-12 01:26 - 000006535 _____ C:\Users\buh3\Desktop\Инструкции по восстановлению.TXT
  2017-11-12 01:25 - 2017-11-12 01:25 - 000006535 _____ C:\Инструкции по восстановлению.TXT
  2017-11-14 15:49 - 2013-10-29 15:31 - 000000000 ____D C:\Program Files\IObit
  2017-11-14 15:44 - 2016-06-07 16:32 - 000000000 ____D C:\Program Files\Common Files\IObit
  2017-11-14 15:44 - 2016-04-04 05:55 - 000000000 ____D C:\IObit
  2017-11-14 15:44 - 2015-01-16 08:33 - 000000000 ____D C:\Users\buh10\AppData\Roaming\IObit
  2017-11-14 15:44 - 2014-09-09 15:35 - 000000000 ____D C:\Users\vladmih\AppData\Roaming\IObit
  2017-11-14 15:44 - 2013-10-29 15:31 - 000000000 ____D C:\Users\Все пользователи\IObit
  2017-11-14 15:44 - 2013-10-29 15:31 - 000000000 ____D C:\Users\buh3\AppData\Roaming\IObit
  2017-11-14 15:44 - 2013-10-29 15:31 - 000000000 ____D C:\Users\buh3\AppData\LocalLow\IObit
  2017-11-14 15:44 - 2013-10-29 15:31 - 000000000 ____D C:\ProgramData\IObit
  ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  ContextMenuHandlers1: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} => C:\Windows\system32\IObitSmartDefragExtension.dll -> No File
  ContextMenuHandlers6: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} => C:\Windows\system32\IObitSmartDefragExtension.dll -> No File
  Task: {50D08997-D46D-4ECF-A647-B5C3B705F29F} - System32\Tasks\Driver Booster SkipUAC (buh3) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe
  Task: {D745007A-E809-4F95-8F1A-4876D52F54B6} - System32\Tasks\Driver Booster SkipUAC (vladmih) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe
  FirewallRules: [{905D4061-B32C-4D91-B898-1947386FFEC8}] => (Allow) C:\Program Files\IObit\Driver Booster\DriverBooster.exe
  FirewallRules: [{E704D119-5023-41D6-A878-6219E7A213DA}] => (Allow) C:\Program Files\IObit\Driver Booster\DriverBooster.exe
  FirewallRules: [{A9175FCC-605E-4837-B6AB-D72229C36A8D}] => (Allow) C:\Program Files\IObit\Driver Booster\DBDownloader.exe
  FirewallRules: [{16C53621-3D80-4853-ACAF-EA3C9AB2580B}] => (Allow) C:\Program Files\IObit\Driver Booster\DBDownloader.exe
  FirewallRules: [{F359F50C-B0E5-40FC-9C5A-83C74E261451}] => (Allow) C:\Program Files\IObit\Driver Booster\AutoUpdate.exe
  FirewallRules: [{99C9FB5B-2A24-4CC0-9830-0A52A8FD74E1}] => (Allow) C:\Program Files\IObit\Driver Booster\AutoUpdate.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Все сделал, файл прикрепил. Антивирусник удалил совсем, пока.
По AdwCleaner вот все отчеты которые были созданы, может я что-то не так сделал
вот нужный файл

 

[Sandor]

Проверьте личные сообщения.

 

[Vladimir21]

Расшифровал Рабочий стол, все отлично! Поставил на расшифровку сразу диск, процесс идет.
ОГРОМНОЕ СПАСИБО!

 

[Sandor]

По завершении проделайте финальные шаги:
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Vladimir21]

По завершении проделайте финальные шаги:
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Все отлично! Вот лог.
Остался один вопрос. Такое у меня произошло второй раз. Первый раз в прошлом году в это же время. Здесь нет закономерности? Может сидит где-то скрипт и активизируется раз в год? Как это можно проверить?

 

[Sandor]

Может сидит где-то скрипт и активизируется раз в год?

Если бы это так было, мы бы Вас не отпустили

А вот на что следует обратить внимание:

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18230 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Дата установки обновлений: 2016-04-02 06:35:52
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer 12 v.12.0.83369 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 66 v.8.0.660.18 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u152-windows-i586.exe)^
---------------------------- [ UnwantedApps ] -----------------------------
Спутник@Mail.Ru v.2.4.1.209 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Прочтите и выполните Рекомендации после удаления вредоносного ПО

 

[Vladimir21]

Все понял. Еще один вопрос по семейству программ IObit. Вы назвали их нежелательными. С чем это связано и чем, в таком случае, лучше всего пользоваться?

 

[Sandor]

Это связано с тем, что чаще всего эти и подобные им программы идут "в нагрузку" с чем-нибудь еще.
В подавляющем большинстве случаев для всех тех целей, для чего они предназначены, достаточно стандартных программ, входящих в состав операционной системы. К тому же стандартные, в отличие от тех, работают корректно.

 

[Vladimir21]

Понятно. Еще раз ОГРОМНОЕ СПАСИБО!