Все ваши файлы повреждены, свяжитесь с нами для их восстановления

[aleksey_72rus]

Добрый день!

Помогите устранить проблему:

 

Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.

Для этого откройте ярлык 'Ваш консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.

 

Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.

TOR: https://www.torproject.org/ | Видео инструкция:

url_1: http://y6kpyefykdvswxps.onion:4567/pay.html

url_2: http://gi3ruskskqzff2rw.onion:4567/pay.html

HashKey: 296d6649b1abe554d2310d8dadc8db7e

ID: 2528

CollectionLog-2014.10.03-20.32.zip

[mike 1]

Здравствуйте! Деинсталлируйте:

 

Screentool
WebSecurity Extension version 16.40-->"C:\Program Files (x86)\Microsoft Data\unins000.exe"

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\users\1\appdata\local\screentk\screentool.exe');
 SetServiceStart('screentk', 4);
 StopService('screentk');
 QuarantineFileF('C:\Users\1\AppData\Roaming\runWIN', '*.exe', true, ' ', 0, 0);
 QuarantineFileF('C:\Users\1\AppData\Roaming\Mail.RU NewGamesT', '*.exe', true, ' ', 0, 0);
 QuarantineFileF('C:\Users\1\AppData\Roaming\GemWare', '*.exe', true, ' ', 0, 0);
 QuarantineFileF('C:\Users\1\AppData\Roaming\Microsoft DB', '*.exe', true, ' ', 0, 0);     
 QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\runWIN\update.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\screentk\screentkup.exe','');
 QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','');
 QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','');
 QuarantineFile('C:\Windows\screentk.sys','');
 QuarantineFile('c:\users\1\appdata\local\screentk\screentool.exe','');
 DeleteFile('C:\Windows\screentk.sys','32');
 DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','32');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','32');
 DeleteFile('C:\Users\1\AppData\Local\screentk\screentkup.exe','32');
 DeleteFile('C:\Users\1\AppData\Local\screentk\screentool.exe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\runWIN\update.exe','32');
 DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
 DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
 DeleteFile('C:\Windows\SYSWOW64\removeSAddons.bat','32');     
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','screentk');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','screentkUpdater');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewRunWIN');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);     
 DeleteService('screentk');
 DeleteFileMask('C:\Users\1\AppData\Roaming\runWIN', '*', true, ' ');
 DeleteFileMask('C:\Users\1\AppData\Roaming\Mail.RU NewGamesT', '*', true, ' ');
 DeleteFileMask('C:\Users\1\AppData\Local\screentk', '*', true, ' ');
 DeleteFileMask('C:\Users\1\AppData\Roaming\GemWare', '*', true, ' ');
 DeleteFileMask('C:\Users\1\AppData\Roaming\Microsoft DB', '*', true, ' ');
 DeleteFileMask('C:\supermegabest', '*', true, ' ');
 DeleteDirectory('C:\supermegabest');     
 DeleteDirectory('C:\Users\1\AppData\Roaming\Microsoft DB');     
 DeleteDirectory('C:\Users\1\AppData\Roaming\runWIN');     
 DeleteDirectory('C:\Users\1\AppData\Roaming\Mail.RU NewGamesT');     
 DeleteDirectory('C:\Users\1\AppData\Local\screentk');     
 DeleteDirectory('C:\Users\1\AppData\Roaming\GemWare');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate; 
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

O4 - HKCU\..\Run: [screentk] C:\Users\1\AppData\Local\screentk\screentool.exe
O4 - HKCU\..\Run: [screentoolkit.exe] C:\Users\1\AppData\Local\screentk\screentoolkit.exe
O4 - HKCU\..\Run: [screentkUpdater] C:\Users\1\AppData\Local\screentk\screentkup.exe
O4 - HKCU\..\Run: [NewLoadSystemWIN32] C:\Users\1\AppData\Roaming\runWIN\update.exe
O4 - HKCU\..\Run: [NewRunWIN] C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe
O4 - HKCU\..\Run: [Encrypt] C:\Users\1\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe

 

 

Сделайте новые логи

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

• Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе

• Распакуйте архив с утилитой в отдельную папку

• Запустите FixerBro

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В главном окне программы нажмите на кнопку "Проверить"

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)

• По окончанию сканирования нажмите на кнопку "Отчет".

• Сохраните лог утилиты

• Прикрепите сохраненный отчет в вашей теме.

 

 

[aleksey_72rus]

Ну вроде сделал все пошагово.

какие дальнейшие действия?

AdwCleanerR0.txt

FixerBro_20141003.txt

hijackthis.log

[mike 1]

• Запустите повторно FixerBro by glax24.

  Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив следующих строк и нажмите на кнопку Исправить. Дождитесь окончания удаления.

 

C:\Users\Public\Desktop\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat "http://1kanal.org/?src=hp1" - (Объект запуска не найден)]
C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://1kanal.org/?src=hp1" - (Объект запуска не найден)]
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat "http://1kanal.org/?src=hp1" - (Объект запуска не найден)]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat "http://1kanal.org/?src=hp1" - (Объект запуска не найден)]

 

• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt).

• По окончанию удаления нажмите на кнопку "Отчет"

• Сохраните лог утилиты

• Прикрепите сохраненный отчет в вашей теме.

 

 

2. В Firefox удалите расширение SuperMegaBest

 

 

3. Сделайте новые логи Автологгером.

 

 

 

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

???

Изменено 3 октября, 2014 пользователем mike 1

[aleksey_72rus]

Да кстати вот ещё от Антивирусной что пришло

KLAN-2021091187

chrome.exe.bat,
iexplore.exe.bat,
screentk.sys,
screentkup.exe,
screentool.exe,
tiket.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

Выполнено

новые логи так же выполнены

FixerBro_20141003 (2).txt

AdwCleanerR1.txt

[Roman_Five]

 

 

3. Сделайте новые логи Автологгером.

 

это сегодня день такой? каждый второй игнорит просьбу приложить логи автологгера...

[aleksey_72rus]

Так я же вложил

AdwCleanerR1.txt

[Mark D. Pearlstone]

@aleksey_72rus, нужен такой же файл, как вы приложили в первом сообщении, только новый.

[aleksey_72rus]

так я что то запутался, через какую программу мне нужно выгрузить этот файл ??

Разве не через adwcleaner ??

Или я что то путаю?

[Mark D. Pearlstone]

@aleksey_72rus, пункт 3 http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[aleksey_72rus]

Ну говорю же уже мозг не работает

Вложил

CollectionLog-2014.10.03-23.28.zip

[mike 1]

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

  then

   begin

    SearchRootkit(true, true);

    SetAVZGuardStatus(true);

   end;

 ClearQuarantine;

 QuarantineFile('c:\windows\temp\DisableS3S464\sethigh.cmd','');

 QuarantineFile('C:\Users\1\AppData\Local\screentk\screentoolkit.exe','');   

 DeleteFile('C:\Users\1\AppData\Local\screentk\screentoolkit.exe','32');

 DeleteFile('c:\windows\temp\DisableS3S464\sethigh.cmd','32');

 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DisableS3S4');          

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','screentoolkit.exe');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DisableS3S4','command');           

BC_ImportAll;

ExecuteSysClean;

BC_Activate;  

RebootWindows(false);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

O4 - HKCU\..\Run: [screentoolkit.exe] C:\Users\1\AppData\Local\screentk\screentoolkit.exe

 

 

Сделайте новые логи

 

[aleksey_72rus]

Так по порядку:

KLAN-2021359135

От Вас получено письмо, не содержащее файлов.
Возможно, антивирус на почтовом сервере удалил Ваш файл как инфицированный.

Если Вы нам посылали файл, пожалуйста, заархивируйте файл с паролем infected и пришлите снова.

Вы также можете загрузить файлы на любой популярный файловый хостинг или FTP-сервер.

 

Далее
 

hijackthis.log

CollectionLog-2014.10.04-00.13.zip

[mike 1]

Логи в порядке. С расшифровкой не поможем. 

[aleksey_72rus]

А кто поможет с расшифровкой?