Перейти к содержанию

Все ваши файлы повреждены, свяжитесь с нами для их восстановления

ptbl
 Поделиться

Рекомендуемые сообщения

ptbl

ptbl

Опубликовано
Опубликовано
Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.

Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.

 

Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.

TOR: https://www.torproject.org/ | Видео инструкция:



HashKey: a9a6f7feb859e2118af0b0aab0f4e908

ID: 27989

CollectionLog-2014.10.11-17.30.zip

mike 1

mike 1

Опубликовано
Опубликовано
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFileF('%USERPROFILE%\appdata\roaming\mail.ru newgamest', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\runWIN', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\ICL', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\GemWare', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\Microsoft DB', '*', true, ' ', 0, 0);
 QuarantineFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
 QuarantineFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Главное меню\Программы\Автозагрузка\runWIN.exe','');
 DeleteFile('%USERPROFILE%\AppData\Roaming\runWIN\Update.exe','32');
 DeleteFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Главное меню\Программы\Автозагрузка\runWIN.exe','32');
 DeleteFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');     
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');   
 DeleteFileMask('%USERPROFILE%\appdata\roaming\mail.ru newgamest', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\runWIN', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\ICL', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\GemWare', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\Microsoft DB', '*', true, ' ');
 DeleteDirectory('%USERPROFILE%\appdata\roaming\mail.ru newgamest');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\runWIN');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\ICL');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\GemWare');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\Microsoft DB');
 QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','');
 QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','');
 DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','32');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','32');                
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://1kanal.org/?src=hp1
 
 
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 
 

  • Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе
  • Распакуйте архив с утилитой в отдельную папку
  • Запустите FixerBro

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

  • В главном окне программы нажмите на кнопку "Проверить"
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
  • По окончанию сканирования нажмите на кнопку "Отчет".
  • Сохраните лог утилиты
  • Прикрепите сохраненный отчет в вашей теме.
 
 
 
mike 1

mike 1

Опубликовано
Опубликовано

  • Запустите повторно FixerBro by glax24.

    Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да





  • Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив следующих строк и нажмите на кнопку Исправить. Дождитесь окончания удаления.

 




C:\Users\Роман\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://1kanal.org/?src=hp1" - (Объект запуска не найден)]

C:\Users\Роман\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://1kanal.org/?src=hp1" - (Объект запуска не найден)]

C:\Users\Роман\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat "http://1kanal.org/?src=hp1" - (Объект запуска не найден)]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat "http://1kanal.org/?src=hp1" - (Объект запуска не найден)]


 


  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt).


  • По окончанию удаления нажмите на кнопку "Отчет"


  • Сохраните лог утилиты


  • Прикрепите сохраненный отчет в вашей теме.

 

 

Сделайте новые логи при помощи Автологгера. 

mike 1

mike 1

Опубликовано
Опубликовано

  • Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе


  • Распакуйте архив с утилитой в отдельную папку


  • Запустите checkbrowserlnk.exe

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да





  • После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log


  • Прикрепите этот отчет в вашей теме.

 

ptbl

ptbl

Опубликовано
  • Автор
Опубликовано

спасибо огромное

зашифрованые файлы чем посоветуете восстановить?

почему антивирусы не могут в автоматическом режиме восстанавливать подобную проблему?

mike 1

mike 1

Опубликовано
Опубликовано

 

 

зашифрованые файлы чем посоветуете восстановить?

Вам в 6 сообщении рекомендовали утилиту.

 

почему антивирусы не могут в автоматическом режиме восстанавливать подобную проблему?

Некоторые антивирусы умеют так делать, но штатный антивирус от Microsoft ясное дело так делать не умеет. 

Roman_Five

Roman_Five

Опубликовано
Опубликовано

Внимание! Данный дешифратор предназначен только для пользователя ptbl


Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется
 
Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов.
 
Дешифратор
 
Принцип работы с дешифратором:
 
1. Сохраните дешифратор в отдельную созданную папку. 
 
2. Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора.

key.zip

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • tr01
      Нужна помощь с восстановлением файлов
      Автор tr01
      Добрый день
      Подскажите, пожалуйста, сможете ли вы помочь в ситуации, если сервер в зломали и упаковали файлы в архив rar?После этого был Backdoor, но вроде бы уже удален антивирусом, восстановить файлы с диска не получается (затерты архивами). 
      Addition.txt FRST.txt отчет.txt пароль к архиву - копия (72) — копия — копия.txt
    • Kenotron
      Неопознанный нами шифровальщик
      Автор Kenotron
      Добрый день!
      Сегодня обнаружили что в прошлую пятницу один из компьютеров подвергся атаке неопознанным ботом.
      Заражение скорее всего произошло удаленно, через сессию VNC.
      Комп отключили от сети.
      все файлы шифруются и в добавок к существующему расширению добавляется bot
      атрибуты файла не меняются за исключением времени доступа.
      Архив файла вымогателей и два зараженных файла прилагаются
      Лог работы команды Farbar Recovery Scan Tool прилагаются!
      Заранее спасибо!
       
       
      Addition.txt BOT.zip FRST.txt
    • SEcrash63
      Повреждено хранилище Windows
      Автор SEcrash63
      Доброго всем времени суток.
      Может быть кто сможет помочь, с такой проблемой.
      Имеется ПК с установленной W7 x64 (без SP1, установить не могу обновление, ругается на поврежденное хранилище)
       
      Случилась проблема что перестали работать многие сетевые службы и другие, ПК перестал выходить в интернет, получать Ip и много чего.
      Частично проблемы удалось исправить, но привести полностью в рабочее состояние так и не удалось. Журнал событий ругается как минимум на две ошибки,  одна из них проблема со службой
      "Служба "Служба политики диагностики" завершена из-за ошибки. Не удается найти указанный файл." 
      И "Не удается найти описание для идентификатора события 0 из источника .NET Runtime. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере. .NET Runtime version : 2.0.50727.8806 - Отладчик не найден.Не указан зарегистрированный отладчик JIT"
       
      Делал сканирование системы SFC \SCANNOW говорит проблемы есть, но починить не могу.
      Делал DISM /Online /Cleanup-Image /ScanHealth - по его логам с доноров пособирал большую часть файлов, часть выкорчевывал из пакетов обновлений, но не все удалось найти. 
      Антивирус был все время Kaspersky, после появления проблем временно все удалил. Сейчас никакого антивируса нет.
      Логи и того и другого прилагаю.
      Подскажите может кто сможет поделится файлами из лога CheckSUR.
      Или может быть подскажете другие пути решения проблемы? (Систему с нуля бы поставил, было бы проще, но в данном случае это не предоставляется возможным, очень важно сохранить рабой вариант текущей)
       
      Заранее спасибо.
       
      CBS.log CheckSUR7.log sfcdetails.txt SFCFix.txt
    • ArAREM
      Помощь в восстановлении и расшифровке файлов Real.Berserk2000@mailum.com
      Автор ArAREM
      Здравствуйте!
      Около двух месяцев назад на корпоративный сервер организации попал вирус-шифровальщик. Все базы данных 1C и важные файлы были зашифрованы. На данный момент уже проведены все мероприятия для восстановления работоспособности и налаживания безопасности, однако после этого инцидента остался жесткий диск с сервера с зашифрованными на нём файлами. Исходя из всех проведенных проверок - самого вирус-шифровальщика на нём уже нет. Файл FRST не смогу предоставить, так как накопитель уже не используется на сервере и по сути просто лежит у обслуживающей организации ожидая выхода дешифратора.
      В свою очередь изначально в качестве одного из "условий" сделки, которую мы, естественно, не стали проводить после получения необходимого файла, нам удалось убедить злоумышленников расшифровать один из наших файлов для подтверждения возможности расшифровки. Возможно это как-то поможет в подборе дешифратора.
      В архиве будут представлены: текст с требованием, а также два других зашифрованных файла малого размера (архив Files).
      Хотел также прикрепить дополнительно образец расшифрованного файла базы данных Excel ДО и ПОСЛЕ расшифровки, но каждый из них весит по 3 мб, поэтому форма заполнения обращения не позволяет прикрепить их оба. В связи с чем в архиве (Sample) прикреплю уже расшифрованный файл. Если дополнительно понадобится версия файла ДО расшифровки, то предоставлю отдельным сообщением.
      Files KP.zip Sample.zip
    • E.K.
      Нам 20! Лето юбилея!
      Автор E.K.
      Всем - привет!
       
      28 лет назад, где-то осенью 1989, мой рабочий компьютер Olivetti-24M подвергся вирусной атаке, что в корне изменило всю мою дальнейшую жизнь. Знал бы тот вирус, на чей компьютер он посягает, сколько его зловредных родичей будет истреблено потом моей рукой и под чутким руководством – наверное, не стал бы он вот так опрометчиво и безоглядно лезть куда не надо, ведь не стал бы!
       
      26 лет назад, летом 1991г. группой энтузиастов был выпущен «прадедушка» того, что впоследствии стало известно как один из лучших в мире антивирусов.
       
      Ровно 20 лет назад, 26 июня 1997г. была основана «Лаборатория имени меня». Вот так. Сегодня – ровно день-в-день 20 лет компании! Ура!

       
      Официальные церемонии юбилейного отмечания будут проходить чуть позже, сейчас поработать еще немного надо, но сегодня вечером - скромно, в кругу единомышленников, - мне будет очень приятно, если вы нальёте друг другу чего-нибудь вкусного (или полезного) и скажете про нас что-нибудь доброе или от души хорошее Ура!
       
      Кстати, прилетели поздравления от Скудерии - грацие милле!
      (кстати, фотки эти пришли под названием "Кими улыбается" )

       
      Чмоки!
×
×
  • Создать...