Вирус зашифровал все файлы с распространенными расширениями

[Sershi]

Нужна помощь с такой же проблемой. Вирус зашифровал все файлы с распространенными расширениями на расширение AES256. Операционная система Windows 7. По неопытности операционная была переустановлена. Как побороть проблему?

Во многих папках появился текстовый файл - ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ. В файле указана следующее
Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.
Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.

Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.
TOR: https://www.torproject.org/ | Видео инструкция:
url_1: http://y6kpyefykdvswxps.onion:4567/pay.html
url_2: http://gi3ruskskqzff2rw.onion:4567/pay.html
HashKey: e72c3465c7a0b053ad7d460575bae1a4
ID: 15096

Сообщение от модератора "Mark D. Pearlstone"

Перенесено из темы

[_Strannik_]

@Sershi,  Выполните "Правила запроса о помощи" и предоставьте необходимый лог фаил. Подробнее в этой статье http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Изменено 12 октября, 2014 пользователем _Strannik_

[Sershi]

Файлы мультимедиа, фото, офиса изменили расширения на AES256. Во многих папках появился текстовый файл - ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ, со следующей информацией

Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.
Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.

Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.
TOR: https://www.torproject.org/ | Видео инструкция:
url_1: http://y6kpyefykdvswxps.onion:4567/pay.html
url_2: http://gi3ruskskqzff2rw.onion:4567/pay.html
HashKey: e72c3465c7a0b053ad7d460575bae1a4
ID: 15096

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены

CollectionLog-2014.10.12-18.16.zip

[mike 1]

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\runWIN.exe','');
 DeleteFile('C:\runWIN.exe','32');          
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

• Скачайте SITLog и сохраните архив с утилитой на Рабочем столе

• Распакуйте архив с утилитой в отдельную папку

• Запустите sitlog.exe

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"

• По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt

• Прикрепите эти отчеты в вашей теме.

 

 

[Sershi]

Не получается выполнить скрипт в АВЗ. Выдаёт ошибку.

Ошибка: Too many actual parameters в позиции 12:12

[Roman_Five]

avz используете из папки автологгера?

[mike 1]

Скрипт написан без ошибок. Вы похоже скрипт пытаетесь выполнить в AVZ 4.41.  

Изменено 12 октября, 2014 пользователем mike 1

[Sershi]

Версия АВЗ 4.35

avz не в папке автологгера

Скрипт выполнил. Разбираюсь дальше.

[mike 1]

Версия АВЗ 4.35

А у вас там в заначке еще более древней версии не нашлось?  Из папки с автологгером используйте AVZ, а не этот раритет.  

Изменено 12 октября, 2014 пользователем mike 1

[Sershi]

Прикрепляю требуемые файлы SITLog

SITLog.txt

SITLog_Info.txt

[mike 1]

Пробуйте http://support.kaspersky.ru/viruses/disinfection/10556

[Sershi]

Утилита RakhniDecryptor выдала сообщение - Невозможно подобрать пароль...

[mike 1]

Значит с расшифровкой не поможем. 

[Roman_Five]

 

 

HashKey: e72c3465c7a0b053ad7d460575bae1a4 ID: 15096

 

Sershi

[Roman_Five]

Внимание! Данный дешифратор предназначен только для пользователя Sershi


Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется
 
Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов.
 
Дешифратор
 
Принцип работы с дешифратором:
 
1. Сохраните дешифратор в отдельную созданную папку. 
 
2. Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора.

key.zip