Перейти к содержанию

Ваши файлы были зашифрованы


Рекомендуемые сообщения

Здравствуйте! Включив компьютер обнаружил, что различные файлы: документы MS Office, картинки .jpg и .jpeg, .pdf и другие - зашифрованы, к текущему расширению файлов добавилось расширение "XTBL". В папках, где имеются зашифрованные файлы, появился файл README.txt следующего содержания:

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
DD46C089B361EE51599D|0
на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com .
Далее вы получите все необходимые инструкции. 

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Сканировать антивирусом не стал: побоялся автоматического удаления важных файлов. 

CollectionLog-2015.02.10-15.33.zip

Ссылка на комментарий
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! Деинсталлируйте:
 

Torrent Search
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\program files\torrent search\basement\extensionupdaterservice.exe');
 TerminateProcessByName('c:\program files\torrent search\backgroundsingleton.exe');
 SetServiceStart('Update Service for Torrent Search', 4);
 StopService('Update Service for Torrent Search');
 QuarantineFile('C:\Users\витя\AppData\Local\Microsoft\Windows\toolbar.exe','');
 QuarantineFile('C:\Users\витя\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\витя\AppData\Roaming\Browsers\exe.emorhc.bat','');
 QuarantineFile('c:\program files\torrent search\basement\extensionupdaterservice.exe','');
 QuarantineFile('c:\program files\torrent search\backgroundsingleton.exe','');
 DeleteFile('c:\program files\torrent search\backgroundsingleton.exe','32');
 DeleteFile('C:\Program Files\Torrent Search\Basement\ExtensionUpdaterService.exe','32');
 DeleteFile('C:\Users\витя\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\витя\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 DeleteFile('C:\Users\витя\AppData\Local\Microsoft\Windows\toolbar.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\SystemScript','32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteService('Update Service for Torrent Search');        
 DeleteFileMask('C:\Users\витя\AppData\Roaming\Browsers', '*', true, ' ');
 DeleteDirectory('C:\Users\витя\AppData\Roaming\Browsers');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
O4 - HKCU\..\Run: [SystemScript] "C:\Users\витя\AppData\Local\Microsoft\Windows\toolbar.exe"
 
  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке
 
move.gif
 
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
 
 
 
Сделайте новые логи Автологгером. 
 

 

  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 
 
В следующем вашем ответе мне требуются следующие отчеты:
 
1. CollectionLog-yyyy.mm.dd-hh.mm.zip
 
2. AdwCleaner[R0].txt
 
3. ClearLNK-<Дата>.log
 
Ссылка на комментарий
Поделиться на другие сайты

 

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!.
 
Подробнее читайте в этом руководстве.
 
 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
B92LqRQ.png
 

 

Ссылка на комментарий
Поделиться на другие сайты

Хорошо понял, благодарю! На почту пришло сообщение что файл карантина, отправленный через указанную форму  не дошел. После отправки его по почте получил аналогичное сообщение. KLAN-2507580579

Ссылка на комментарий
Поделиться на другие сайты

 

 


После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

 

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

 

Addition.txt

FRST.txt

AdwCleanerS0.txt

Ссылка на комментарий
Поделиться на другие сайты

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
OPR StartupUrls: "hxxp://search-ok.ru/"
2015-02-07 17:09 - 2015-02-07 19:14 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-02-07 17:09 - 2015-02-07 19:14 - 00000000 __SHD () C:\ProgramData\Windows
2015-02-07 16:11 - 2015-02-07 16:11 - 00000626 __RSH () C:\Users\Все пользователи\ntuser.pol
2015-02-07 16:11 - 2015-02-07 16:11 - 00000626 __RSH () C:\ProgramData\ntuser.pol
2015-02-07 16:10 - 2015-02-07 16:10 - 00000000 ____D () C:\Users\витя\AppData\Roaming\SPI
2015-01-16 21:44 - 2015-01-16 21:44 - 00000000 __SHD () C:\Users\Лена\AppData\Local\EmieUserList
2015-01-16 21:44 - 2015-01-16 21:44 - 00000000 __SHD () C:\Users\Лена\AppData\Local\EmieSiteList
2015-01-16 21:44 - 2015-01-16 21:44 - 00000000 __SHD () C:\Users\Лена\AppData\Local\EmieBrowserModeList
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...