Перейти к содержанию

Ваши файлы были зашифрованы.


Рекомендуемые сообщения

При включении компьютера поменялся фон рабочего стола с надписью,что все файлы моего компьютера были зашифрованы. И появилось миллиард блокнотов с содержимым:

"Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:
E77DD37FA3619117ACC0|0
на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
E77DD37FA3619117ACC0|0
to e-mail address deshifrator01@gmail.com or deshifrovka@india.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data."
 
 
P.S: Я совершенно не разбираюсь ни в программах, ни в чём, что касается компьютера. Я очень прошу помочь, но ооочень доступным языком) Заранее спасибо.

CollectionLog-2015.02.12-15.36.zip

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 31
  • Created
  • Последний ответ

Top Posters In This Topic

  • Releland

    16

  • mike 1

    15

  • Roman_Five

    1

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 



begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Program Files\opera\program\plugins\npapihelper.dll','');
 QuarantineFile('C:\Users\Check\appdata\local\microsoft\internet explorer\extensions\apihelper.dll','');
 QuarantineFile('C:\Users\Check\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll','');
 QuarantineFile('C:\PROGRA~2\Mozilla\uxdelih.exe','');
 QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe','');
 QuarantineFile('C:\Windows\system32\regedit.exe','');
 QuarantineFile('C:\Windows\System32\ir16_32.dll','');
 QuarantineFile('C:\Windows\System32\d3dadapter.dll','');
 QuarantineFile('C:\Windows\System32\KBDMAI.dll','');
 QuarantineFile('C:\Users\Check\AppData\Roaming\eTranslator\eTranslator.exe','');
 QuarantineFile('C:\Users\Check\AppData\Local\Temp\69C9.tmp.exe','');
 QuarantineFile('C:\Program Files\baidu\BindEx.exe','');
 DeleteFile('C:\Windows\system32\DRIVERS\BDEnhanceBoost.sys','32');
 DeleteFile('C:\Program Files\baidu\BindEx.exe','32');
 DeleteFile('C:\Users\Check\AppData\Local\Temp\69C9.tmp.exe','32');
 DeleteFile('C:\Users\Check\AppData\Roaming\eTranslator\eTranslator.exe','32');
 DeleteFile('C:\Windows\system32\regedit.exe','32');
 DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','32');
 DeleteFile('C:\PROGRA~2\Mozilla\uxdelih.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\zxudpqi','32');
 DeleteFile('C:\Windows\system32\d3dadapter.dll','32');
 DeleteFile('C:\Windows\system32\ir16_32.dll','32');
 DeleteFile('C:\Windows\system32\kbdmai.dll','32');
 DeleteFile('C:\Users\Check\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll','32');
 DeleteFile('C:\Users\Check\appdata\local\microsoft\internet explorer\extensions\apihelper.dll','32');
 DeleteFile('C:\Program Files\opera\program\plugins\npapihelper.dll','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MicrosoftUpdate','command');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Update');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\kbdmai\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\d3dadapter\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ir16_32\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Regedit32','command');
 DeleteService('BDEnhanceBoost');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(2);
RebootWindows(false);
end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 



begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.


 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=%SID%&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=%SID%&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://2inf.net/?utm_source=startpage
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=9e585b57913204de3da3258ce965bdf7&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=9e585b57913204de3da3258ce965bdf7&text=
O2 - BHO: APIHelperBHO - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\Users\Check\AppData\Local\Microsoft\Internet Explorer\Extensions\APIHelper.dll
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: GBHO.BHO - {c20391ee-b6fd-4a35-9f1b-2892dda5b107} - mscoree.dll
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: Smart Recovery 2 - {a011d643-4a67-4934-a775-46139847d7f2} - mscoree.dll
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll
O20 - AppInit_DLLs: Ф7


 



  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.


  • Распакуйте архив с утилитой в отдельную папку.


  • Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке

 

move.gif

 


  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.


  • Прикрепите этот отчет к своему следующему сообщению.

 

 


 

Сделайте новые логи Автологгером. 

 

 





  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.


  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.


  • Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 


 

В следующем вашем ответе мне требуются следующие отчеты:

 

1. CollectionLog-yyyy.mm.dd-hh.mm.zip

 

2. ClearLNK-<Дата>.log

 

3. AdwCleaner[R0].txt

Ссылка на комментарий
Поделиться на другие сайты

 

 

AdwCleaner  пишет мне снять флажок с ( не поняла с каких элементов), которых я хочу сохранить. Я видимо не конечный блокнотик вам прислала. Только сейчас заметила,что нет кнопки "отчёт", как написано в инструкции. 

CollectionLog-2015.02.13-01.48.zip

ClearLNK-13.02.2015_00-22.log

AdwCleanerR2.txt

Ссылка на комментарий
Поделиться на другие сайты

Да, немного кнопки поменяли. Похоже опять придется инструкцию переписывать.  :(

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

В какой из вкладок? я просто снимаю флажки и ничего не меняется. Или что-то потом надо будет нажать после того,как сниму флажки? Там только программы? Просто стоит ещё галочка, где написано C:\Windows\sistem32\config\systemprofile\AppData\Roaming\baidu

Если я там не сниму галочку, то он это удалит? Меня просто пугают все названия папок  и файлов, где присутствуют "windows" и "system32".Вдруг,что-то не то удалю)

post-33548-0-31451800-1423781507_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

Если я там не сниму галочку, то он это удалит?

Да. Инструкцию обновили по ссылке. 

 

Меня просто пугают все названия папок  и файлов, где присутствуют "windows" и "system32".Вдруг,что-то не то удалю)

Системные файлы не пострадают после очистки. Если ничего не знакомо из найденного, то можете удалить все. 

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


B92LqRQ.png
Ссылка на комментарий
Поделиться на другие сайты

 

  • Cохраните файл fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
Сделайте новые логи Farbar.
 

fixlist.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?

×
×
  • Создать...