Ваши файлы были зашифрованы.

[ericOTT]

Здравствуйте!

Прошу помощи. Одна надежда на вас; ни одна утилита с оффициального сайта Касперского не подходит..

Зашифровались все важные для меня файлы на всех трёх винчестерах компьютера(2.5 терабайта), а именно фото, видео, картинки, видео и прочее..

 

На рабочем столе вместо фонового рисунка на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt которые можно найти на из дисков (скрин прилагается)

А все файлы зашифровались в белиберду с расширением.xtbl,

например вот: rfWw3-qCPp9sWKr9aa4ILQS3uyuXN75kcQ3O-LOxiwREmqXeHx8PsUr3a9GY1ELh.xtbl

 

В многочисленных текстовиках созданных вирусом пишется вот это:

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
82C551F386DC56F5EF49|0
на электронный адрес deshifrovka01@gmail.com или deshifrovka@india.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
82C551F386DC56F5EF49|0
to e-mail address deshifrovka01@gmail.com or deshifrovka@india.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

 

 

 

В дополнение к вложениям вот ссылка на файлообменник Я.диск ; выложил туда несколько зашифрованных файлов, тхт созданные вирусом, скрин рабочего стола, лог Др.Вэб и архив CollectionLog-2015.01.18-18.41.zip, + вообще всё что имеется по моей проблеме.

Если что-то ещё надо, только скажите.

Очень жду вашей помощи.

Заранее огромное спасибо.

CollectionLog-2015.01.18-18.41.zip

[thyrex]

Где продолжите лечение - здесь или на Вирусинфо?

[ericOTT]

здесь

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

  then

   begin

    SearchRootkit(true, true);

    SetAVZGuardStatus(true);

   end;

 ClearQuarantine;

 TerminateProcessByName('c:\programdata\windows\csrss.exe');

 QuarantineFile('C:\Users\1F43~1\AppData\Local\Temp\start.exe','');

 QuarantineFile('C:\Windows\syswow64\avtoreg.bat','');

 QuarantineFile('C:\Users\Дима\AppData\Roaming\newSI_832602\s_inst.exe','');

 QuarantineFile('C:\Users\Дима\AppData\Roaming\newSI_4396\s_inst.exe','');

 QuarantineFile('C:\Users\Дима\AppData\Roaming\newSI_1799\s_inst.exe','');

 QuarantineFile('c:\programdata\windows\csrss.exe','');

 DeleteFile('c:\programdata\windows\csrss.exe','32');

 DeleteFile('C:\Users\Дима\AppData\Roaming\newSI_1799\s_inst.exe','32');

 DeleteFile('C:\Users\Дима\AppData\Roaming\newSI_4396\s_inst.exe','32');

 DeleteFile('C:\Users\Дима\AppData\Roaming\newSI_832602\s_inst.exe','32');

 DeleteFile('C:\Windows\Tasks\newSI_832602.job','32');

 DeleteFile('C:\Windows\Tasks\newSI_4396.job','32');

 DeleteFile('C:\Windows\Tasks\newSI_1799.job','32');

 DeleteFile('C:\Windows\system32\Tasks\GoogleUpdate','32');

 DeleteFile('C:\Windows\system32\Tasks\WdfHG','32');

 DeleteFile('C:\Users\1F43~1\AppData\Local\Temp\start.exe','32');

 DeleteFile('C:\Users\Дима\AppData\Roaming\data13.dat','32');

 DeleteFile('C:\Users\Дима\AppData\Roaming\ssleas.exe','32');     

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);     

 DeleteFileMask('C:\Users\Дима\AppData\Roaming\newSI_1799', '*', true, ' ');

 DeleteDirectory('C:\Users\Дима\AppData\Roaming\newSI_1799');

 DeleteFileMask('C:\Users\Дима\AppData\Roaming\newSI_4396', '*', true, ' ');

 DeleteDirectory('C:\Users\Дима\AppData\Roaming\newSI_4396');

 DeleteFileMask('C:\Users\Дима\AppData\Roaming\newSI_1799', '*', true, ' ');

 DeleteDirectory('C:\Users\Дима\AppData\Roaming\newSI_1799');

 DeleteFileMask('C:\Users\Дима\AppData\Roaming\x13', '*', true, ' ');

 DeleteDirectory('C:\Users\Дима\AppData\Roaming\x13');

 DeleteFileMask('C:\Users\Дима\AppData\Roaming\x11', '*', true, ' ');

 DeleteDirectory('C:\Users\Дима\AppData\Roaming\x11');     

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(false);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)

O20 - AppInit_DLLs:  

 

 

Сделайте новые логи Автологгером. 

 

[ericOTT]

Спасибо за скорую помощь!

Сделал всё до пункта  "" Полученный ответ сообщите здесь (с указанием номера KLAN)""

Пока жду ответа от Департамента Касперского, поясните пожалуйста что значит "номер KLAN"?

 

И как именно: ""

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O20 - AppInit_DLLs:  

"""

Т. е. запустить HiJackThis на больном компе и по инструкции пофиксить те 2 параметра которые Вы указали? с ответом который жду от лаборатории Касперского, HiJackThis не связан? Т.е. могу прямо сейчас запустить на больном компе и пофиксить? Или дождаться ответа и потом уже всё остальное?

Приношу извинения за дотошность, но я неподготовленный для меня всё это не сразу понятно.

Пока писал вопрос Вам, пришел ответ от Лаборатории Касперского: KLAN-2437504553

Здравствуйте,
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

csrss.exe - Trojan-Ransom.Win32.Agent.iej

Детектирование файла будет добавлено в следующее обновление.
С уважением, Лаборатория Касперского
"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ru http://www.viruslist.ru"

 

Что мне делать дальше?

[mike 1]

Сделайте новые логи Автологгером. 

[ericOTT]

Нашел и пофиксил как вы и писали строчки в HiJackThis

 

O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O20 - AppInit_DLLs:  

 

А вот с автологгером, проблемка; пишет после запуска что сбой обновления баз, проверить подключение к инету , возможно файрвол блокирует доступ к инету и т.п., варианта 2  прервать и повторить. Прервать окно закрывается, повторить, он бесконечно достает это же окно...

как запустить в таком случае автологгер?

Вот через зажатый шифт, удалось таки запустить логгер, файл прилагаю.

что мне делать дальше?

CollectionLog-2015.01.19-21.08.zip

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\program files\askpartnernetwork\toolbar\updater\tbnotifier.exe');
 TerminateProcessByName('c:\program files\askpartnernetwork\toolbar\apnmcp.exe');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\8sc9b8RUnyOX2Gtijy3qqB5Q-SfZ9VqG-bGF3kljy6o=.xtbl','');
 QuarantineFile('c:\program files\askpartnernetwork\toolbar\updater\tbnotifier.exe','');
 QuarantineFile('c:\program files\askpartnernetwork\toolbar\apnmcp.exe','');
 DeleteFile('c:\program files\askpartnernetwork\toolbar\apnmcp.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\8sc9b8RUnyOX2Gtijy3qqB5Q-SfZ9VqG-bGF3kljy6o=.xtbl','32');
 DeleteFile('C:\Program Files\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ApnTBMon');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.

Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.

 

Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;

2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;

3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;

4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;

5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.

Важно: размер архива не должен превышать 15 МБ;

6) В строке EMail укажите адрес своей электронной почты;

7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

 

Полученный через электронную почту ответ сообщите в этой теме.

 

Сделайте новые логи по правилам (только пункт 3).

 

что осталось в папке?

C:\ProgramData\Windows

[ericOTT]

в папке C:\ProgramData\Windows нет ничего, пусто.

 

Выполнил первый скрипт, комп перезагрузился, выполнил после перезагрузки второй скрипт, он написал что всё корректно прошло, НО ни в папке AVZ, ни на рабочем столе файл  Quarantine.zip не появился...! Второй скрипт точно для Для создания архива с карантином?

Что мне делать?

[Roman_Five]

 

 

Сделайте новые логи по правилам (только пункт 3).

[ericOTT]

 

Сделайте новые логи по правилам (только пункт 3).

 

во вложении

CollectionLog-2015.01.20-20.50.zip

[Roman_Five]

приложите лог AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

[ericOTT]

приложите лог AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

Вот пожалуйста, посмотрите приложенный лог AdwCleaner.

Скажите есть надежда на восстановление зашифрованных файлов?

AdwCleanerR0.rar

[ericOTT]

Что от меня требуется дальше? Есть ли возможность восстановления зашифрованных файлов?

[_Strannik_]

 

 

Что от меня требуется дальше?

Ждите ответа. Хелперы помогают пользователям в свободное от работы, учебы, семьи время, поэтому возможны задержки в ответах...