Зашифрованы файлы

[Кристи81]

Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.

Для этого откройте ярлык 'Ваш консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.

 

Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.

TOR: https://www.torproject.org/ | Видео инструкция:

url_1: http://y6kpyefykdvswxps.onion:4567/pay.html

url_2: http://gi3ruskskqzff2rw.onion:4567/pay.html

HashKey: e2e339d5d60e32b0200b0b4a10c4c74a

ID: 5317

 

 

помогите кто нибудь?

Сообщение от модератора Mark D. Pearlstone

Перемещено из раздела "Задай вопрос Евгению Касперскому"

[_Strannik_]

Доброго времени суток. Выполните правила раздела помощи и прикрепите необходимый лог фаил http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[Кристи81]

ой для меня наверное это тяжело(( доктором вебом прошла ничего не обноружил, сейчас каспер проверяет

[Mark D. Pearlstone]

@Кристи81, без выполнения правил никакой помощи не будет, так что постарайтесь.

[Кристи81]

всё зделала как вы сказали) как сюда кинуть логи и где находиться логи

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены

[Mark D. Pearlstone]

где находиться логи

В папке AutoLogger, расположенной там же, куда Вы ранее распаковали архив сборщика логов, будет находиться zip-архив с собранными логами - CollectionLog-yyyy.mm.dd-hh.mm.zip, где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2014.07.14-21.04.zip

 

как сюда кинуть логи

Создайте новое сообщение, внизу будет "Прикрепить файлы", ниже кнопка "Нажмите, чтобы прикрепить файлы", нажимаете и выбираете лог.

[Кристи81]

вот вроде сделала) надеюсь правильно сделала

CollectionLog-2014.10.02-19.44.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','32');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','32');
 DeleteFile('C:\Program Files (x86)\Opera\launcher.exe.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Пересоздайте ярлыки

C:\Users\All Users\Application Data\Application Data\главное меню\Программы\Opera.lnk

C:\Users\All Users\Application Data\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk

C:\Users\All Users\Application Data\Microsoft\Windows\Start Menu\Programs\Opera.lnk

C:\Users\All Users\Application Data\Microsoft\Windows\Start Menu\Программы\Google Chrome\Google Chrome.lnk

C:\Users\All Users\Application Data\Microsoft\Windows\Start Menu\Программы\Opera.lnk

C:\Users\All Users\Application Data\Start Menu\Programs\Google Chrome\Google Chrome.lnk

C:\Users\All Users\Application Data\Start Menu\Programs\Opera.lnk

C:\Users\All Users\Application Data\Start Menu\Программы\Google Chrome\Google Chrome.lnk

C:\Users\All Users\Application Data\Start Menu\Программы\Opera.lnk

C:\Users\All Users\Application Data\главное меню\Programs\Google Chrome\Google Chrome.lnk

C:\Users\All Users\Application Data\главное меню\Programs\Opera.lnk

C:\Users\All Users\Application Data\главное меню\Программы\Google Chrome\Google Chrome.lnk

C:\Users\All Users\Application Data\главное меню\Программы\Opera.lnk

C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk

C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Opera.lnk

C:\Users\All Users\Microsoft\Windows\Start Menu\Программы\Google Chrome\Google Chrome.lnk

C:\Users\All Users\Microsoft\Windows\Start Menu\Программы\Opera.lnk

C:\Users\All Users\Start Menu\Programs\Google Chrome\Google Chrome.lnk

C:\Users\All Users\Start Menu\Programs\Opera.lnk

C:\Users\All Users\Start Menu\Программы\Google Chrome\Google Chrome.lnk

C:\Users\All Users\Start Menu\Программы\Opera.lnk

C:\Users\All Users\главное меню\Programs\Google Chrome\Google Chrome.lnk

C:\Users\All Users\главное меню\Programs\Opera.lnk

C:\Users\All Users\главное меню\Программы\Google Chrome\Google Chrome.lnk

C:\Users\All Users\главное меню\Программы\Opera.lnk

C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk

C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk

C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk

C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk

C:\Users\Игорь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk

C:\Users\Игорь\AppData\Roaming\Microsoft\Windows\Start Menu\Программы\Internet Explorer.lnk

C:\Users\Игорь\Application Data\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

C:\Users\Игорь\Application Data\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk

C:\Users\Игорь\Application Data\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk

C:\Users\Игорь\Application Data\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk

C:\Users\Игорь\Application Data\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk

C:\Users\Игорь\Application Data\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk

C:\Users\Игорь\Application Data\Microsoft\Windows\Start Menu\Программы\Internet Explorer.lnk

C:\Users\Игорь\Desktop\проги\Google Chrome.lnk

C:\Users\Игорь\Desktop\проги\Opera.lnk

C:\Users\Игорь\главное меню\Programs\Internet Explorer.lnk

C:\Users\Игорь\главное меню\Программы\Internet Explorer.lnk

C:\ProgramData\Application Data\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk

C:\ProgramData\Application Data\Microsoft\Windows\Start Menu\Programs\Opera.lnk

C:\ProgramData\Application Data\Microsoft\Windows\Start Menu\Программы\Google Chrome\Google Chrome.lnk

C:\ProgramData\Application Data\Microsoft\Windows\Start Menu\Программы\Opera.lnk

C:\ProgramData\Application Data\Start Menu\Programs\Google Chrome\Google Chrome.lnk

C:\ProgramData\Application Data\Start Menu\Programs\Opera.lnk

C:\ProgramData\Application Data\Start Menu\Программы\Google Chrome\Google Chrome.lnk

C:\ProgramData\Application Data\Start Menu\Программы\Opera.lnk

C:\ProgramData\Application Data\главное меню\Programs\Google Chrome\Google Chrome.lnk

C:\ProgramData\Application Data\главное меню\Programs\Opera.lnk

C:\ProgramData\Application Data\главное меню\Программы\Google Chrome\Google Chrome.lnk

C:\ProgramData\Application Data\главное меню\Программы\Opera.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Программы\Google Chrome\Google Chrome.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Программы\Opera.lnk

C:\ProgramData\Start Menu\Programs\Google Chrome\Google Chrome.lnk

C:\ProgramData\Start Menu\Programs\Opera.lnk

C:\ProgramData\Start Menu\Программы\Google Chrome\Google Chrome.lnk

C:\ProgramData\Start Menu\Программы\Opera.lnk

C:\ProgramData\главное меню\Programs\Google Chrome\Google Chrome.lnk

C:\ProgramData\главное меню\Programs\Opera.lnk

C:\ProgramData\главное меню\Программы\Google Chrome\Google Chrome.lnk

C:\ProgramData\главное меню\Программы\Opera.lnk

 

 

 

Сделайте новые логи

 

Сделайте логи RSIT (программу найдете в папке Autologger)

[Кристи81]

делаю снова

Протокол антивирусной утилиты AVZ версии 4.43

Сканирование запущено в 02.10.2014 22:25:38

Загружена база: сигнатуры - 297605, нейропрофили - 2, микропрограммы лечения - 56, база от 01.10.2014 16:00

Загружены микропрограммы эвристики: 405

Загружены микропрограммы ИПУ: 9

Загружены цифровые подписи системных файлов: 687694

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: выключено

Версия Windows: 6.2.9200,  "Windows 8 Single Language" ; AVZ работает с правами администратора

Восстановление системы: включено

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata

Функция kernel32.dll:ReadConsoleInputExA (1103) перехвачена, метод ProcAddressHijack.GetProcAddress ->768BBCF2->7670F05C

Функция kernel32.dll:ReadConsoleInputExW (1104) перехвачена, метод ProcAddressHijack.GetProcAddress ->768BBD25->7670F080

 Анализ ntdll.dll, таблица экспорта найдена в секции .text

Функция ntdll.dll:NtCreateFile (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->7702E0B0->6F9E12A3

Функция ntdll.dll:NtSetInformationFile (547) перехвачена, метод ProcAddressHijack.GetProcAddress ->7702DDD0->6F9C34CF

Функция ntdll.dll:NtSetValueKey (577) перехвачена, метод ProcAddressHijack.GetProcAddress ->7702E160->6F9D9925

Функция ntdll.dll:NtdllDefWindowProc_W (646) перехвачена, метод ProcAddressHijack.GetProcAddress ->7702F7E6->6F9E190D

Функция ntdll.dll:ZwCreateFile (1621) перехвачена, метод ProcAddressHijack.GetProcAddress ->7702E0B0->6F9E12A3

Функция ntdll.dll:ZwSetInformationFile (1898) перехвачена, метод ProcAddressHijack.GetProcAddress ->7702DDD0->6F9C34CF

Функция ntdll.dll:ZwSetValueKey (1928) перехвачена, метод ProcAddressHijack.GetProcAddress ->7702E160->6F9D9925

 Анализ user32.dll, таблица экспорта найдена в секции .text

Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B8B633->6F9C3537

Функция user32.dll:CallWindowProcW (1533) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B8BD1D->6F9E193D

Функция user32.dll:ChangeDisplaySettingsA (1538) перехвачена, метод ProcAddressHijack.GetProcAddress ->76BEEB3C->6FA0549A

Функция user32.dll:ChangeDisplaySettingsExA (1539) перехвачена, метод ProcAddressHijack.GetProcAddress ->76BEEB65->6FA05321

Функция user32.dll:ChangeDisplaySettingsExW (1540) перехвачена, метод ProcAddressHijack.GetProcAddress ->76BD0070->6FA0525C

Функция user32.dll:ChangeDisplaySettingsW (1541) перехвачена, метод ProcAddressHijack.GetProcAddress ->76BD0047->6FA053E6

Функция user32.dll:DestroyWindow (1681) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B8CF9E->6F9E0BE8

Функция user32.dll:EnumChildWindows (1745) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B8C8A5->6F9C35BC

Функция user32.dll:EnumDisplayDevicesA (1750) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B95233->6F9DF2A6

Функция user32.dll:EnumDisplayDevicesW (1751) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B93FFF->6FA04E33

Функция user32.dll:EnumDisplaySettingsA (1753) перехвачена, метод ProcAddressHijack.GetProcAddress ->76BA56BE->6FA05210

Функция user32.dll:EnumDisplaySettingsExA (1754) перехвачена, метод ProcAddressHijack.GetProcAddress ->76BA56EA->6FA05172

Функция user32.dll:EnumDisplaySettingsExW (1755) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B93EF6->6FA05120

Функция user32.dll:EnumDisplaySettingsW (1756) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B93ED0->6FA051C1

Функция user32.dll:EnumThreadWindows (1761) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B8C95A->6F9E0C1D

Функция user32.dll:GetDC (1817) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B8A0DC->6F9E0ABF

Функция user32.dll:GetDCEx (1818) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B8AD49->6F9DE030

Функция user32.dll:GetWindowDC (1954) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B8A2DB->6F9E0DFC

Функция user32.dll:GetWindowLongW (1959) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B88D07->6F9E18F5

Функция user32.dll:RedrawWindow (2152) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B88C02->6F9E0CD2

Функция user32.dll:ReleaseDC (2184) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B8A0F0->6F9E0988

Функция user32.dll:SetWindowLongW (2287) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B8CD13->6F9E1925

Функция user32.dll:SetWindowsHookExW (2298) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B8C784->6FA1C5DF

Функция user32.dll:WindowFromDC (2387) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B8BB1D->6F9E0CEA

Детектирована модификация IAT: GetDC - 6F9E0ABF<>76B8A0DC

 Анализ advapi32.dll, таблица экспорта найдена в секции .text

 Анализ ws2_32.dll, таблица экспорта найдена в секции .text

 Анализ wininet.dll, таблица экспорта найдена в секции .text

 Анализ rasapi32.dll, таблица экспорта найдена в секции .text

 Анализ urlmon.dll, таблица экспорта найдена в секции .text

 Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

 Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe)

1.4 Поиск маскировки процессов и драйверов

 Проверка не производится, так как не установлен драйвер мониторинга AVZPM

1.5 Проверка обработчиков IRP

 Ошибка загрузки драйвера - проверка прервана [C000036B]

2. Проверка памяти

 Количество найденных процессов: 26

 Количество загруженных модулей: 362

Проверка памяти завершена

3. Сканирование дисков

4. Проверка Winsock Layered Service Provider (SPI/LSP)

 Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

 Проверка отключена пользователем

7. Эвристичеcкая проверка системы

Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\SysWOW64\nvinit.dll"

Проверка завершена

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные

>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса

>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX

>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX

>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса

Проверка завершена

9. Мастер поиска и устранения проблем

 >>  Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные

 >>  Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса

 >>  Internet Explorer - разрешена загрузка неподписанных элементов ActiveX

 >>  Internet Explorer - разрешены автоматические запросы элементов управления ActiveX

 >>  Internet Explorer - разрешен запуск программ и файлов в окне IFRAME

 >>  Таймаут завершения процессов находится за пределами допустимых значений

 >>  Таймаут завершения служб находится за пределами допустимых значений

 >>  Разрешен автозапуск с HDD

 >>  Разрешен автозапуск с сетевых дисков

 >>  Разрешен автозапуск со сменных носителей

Проверка завершена

Просканировано файлов: 126518, извлечено из архивов: 74434, найдено вредоносных программ 0, подозрений - 0

Сканирование завершено в 02.10.2014 22:41:03

Сканирование длилось 00:15:27

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18

Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 

можно использовать сервис http://virusdetector.ru/

как мне изменть формат музыки и фото?

название фотки и музыки вот такое Scan14.jpg.AES256

AES256 вот это во всех файлах в конце написано

[Roman_Five]

 

 

делаю снова

не то.
нужны логи в архиве.

 

 

как мне изменть формат музыки и фото?

вероятнее всего, никак без оплаты злоумышленникам.

[Roman_Five]

Внимание! Данный дешифратор предназначен только для пользователя Кристи81


Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется
 
Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов.
 
Дешифратор
 
Принцип работы с дешифратором:
 
1. Сохраните дешифратор в отдельную созданную папку. 
 
2. Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора.

key.zip