Releland Опубликовано 12 февраля, 2015 Опубликовано 12 февраля, 2015 При включении компьютера поменялся фон рабочего стола с надписью,что все файлы моего компьютера были зашифрованы. И появилось миллиард блокнотов с содержимым: "Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: E77DD37FA3619117ACC0|0 на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. All the important files on your computer were encrypted. To decrypt the files you should send the following code: E77DD37FA3619117ACC0|0 to e-mail address deshifrator01@gmail.com or deshifrovka@india.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data." P.S: Я совершенно не разбираюсь ни в программах, ни в чём, что касается компьютера. Я очень прошу помочь, но ооочень доступным языком) Заранее спасибо. CollectionLog-2015.02.12-15.36.zip
mike 1 Опубликовано 12 февраля, 2015 Опубликовано 12 февраля, 2015 Логи нужно переделать без запущенного KVRT (Kaspersky Virus Removal Tool)
Releland Опубликовано 12 февраля, 2015 Автор Опубликовано 12 февраля, 2015 Теперь вроде нормально сделала. CollectionLog-2015.02.12-18.59.zip
mike 1 Опубликовано 12 февраля, 2015 Опубликовано 12 февраля, 2015 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Program Files\opera\program\plugins\npapihelper.dll',''); QuarantineFile('C:\Users\Check\appdata\local\microsoft\internet explorer\extensions\apihelper.dll',''); QuarantineFile('C:\Users\Check\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll',''); QuarantineFile('C:\PROGRA~2\Mozilla\uxdelih.exe',''); QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe',''); QuarantineFile('C:\Windows\system32\regedit.exe',''); QuarantineFile('C:\Windows\System32\ir16_32.dll',''); QuarantineFile('C:\Windows\System32\d3dadapter.dll',''); QuarantineFile('C:\Windows\System32\KBDMAI.dll',''); QuarantineFile('C:\Users\Check\AppData\Roaming\eTranslator\eTranslator.exe',''); QuarantineFile('C:\Users\Check\AppData\Local\Temp\69C9.tmp.exe',''); QuarantineFile('C:\Program Files\baidu\BindEx.exe',''); DeleteFile('C:\Windows\system32\DRIVERS\BDEnhanceBoost.sys','32'); DeleteFile('C:\Program Files\baidu\BindEx.exe','32'); DeleteFile('C:\Users\Check\AppData\Local\Temp\69C9.tmp.exe','32'); DeleteFile('C:\Users\Check\AppData\Roaming\eTranslator\eTranslator.exe','32'); DeleteFile('C:\Windows\system32\regedit.exe','32'); DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32'); DeleteFile('C:\Windows\system32\Tasks\chrome5','32'); DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','32'); DeleteFile('C:\PROGRA~2\Mozilla\uxdelih.exe','32'); DeleteFile('C:\Windows\system32\Tasks\zxudpqi','32'); DeleteFile('C:\Windows\system32\d3dadapter.dll','32'); DeleteFile('C:\Windows\system32\ir16_32.dll','32'); DeleteFile('C:\Windows\system32\kbdmai.dll','32'); DeleteFile('C:\Users\Check\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll','32'); DeleteFile('C:\Users\Check\appdata\local\microsoft\internet explorer\extensions\apihelper.dll','32'); DeleteFile('C:\Program Files\opera\program\plugins\npapihelper.dll','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MicrosoftUpdate','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Update'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\kbdmai\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\d3dadapter\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ir16_32\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Regedit32','command'); DeleteService('BDEnhanceBoost'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(2); RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=%SID%&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=%SID%&text={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://2inf.net/?utm_source=startpage R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=9e585b57913204de3da3258ce965bdf7&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=9e585b57913204de3da3258ce965bdf7&text= O2 - BHO: APIHelperBHO - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\Users\Check\AppData\Local\Microsoft\Internet Explorer\Extensions\APIHelper.dll O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O2 - BHO: GBHO.BHO - {c20391ee-b6fd-4a35-9f1b-2892dda5b107} - mscoree.dll O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O3 - Toolbar: Smart Recovery 2 - {a011d643-4a67-4934-a775-46139847d7f2} - mscoree.dll O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll O20 - AppInit_DLLs: Ф7 Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи Автологгером. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. В следующем вашем ответе мне требуются следующие отчеты: 1. CollectionLog-yyyy.mm.dd-hh.mm.zip 2. ClearLNK-<Дата>.log 3. AdwCleaner[R0].txt
Releland Опубликовано 12 февраля, 2015 Автор Опубликовано 12 февраля, 2015 AdwCleaner пишет мне снять флажок с ( не поняла с каких элементов), которых я хочу сохранить. Я видимо не конечный блокнотик вам прислала. Только сейчас заметила,что нет кнопки "отчёт", как написано в инструкции. CollectionLog-2015.02.13-01.48.zip ClearLNK-13.02.2015_00-22.log AdwCleanerR2.txt
mike 1 Опубликовано 12 февраля, 2015 Опубликовано 12 февраля, 2015 (изменено) Да, немного кнопки поменяли. Похоже опять придется инструкцию переписывать. Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. Изменено 12 февраля, 2015 пользователем mike 1
Releland Опубликовано 12 февраля, 2015 Автор Опубликовано 12 февраля, 2015 В какой из вкладок? я просто снимаю флажки и ничего не меняется. Или что-то потом надо будет нажать после того,как сниму флажки? Там только программы? Просто стоит ещё галочка, где написано C:\Windows\sistem32\config\systemprofile\AppData\Roaming\baidu Если я там не сниму галочку, то он это удалит? Меня просто пугают все названия папок и файлов, где присутствуют "windows" и "system32".Вдруг,что-то не то удалю)
mike 1 Опубликовано 12 февраля, 2015 Опубликовано 12 февраля, 2015 Если я там не сниму галочку, то он это удалит? Да. Инструкцию обновили по ссылке. Меня просто пугают все названия папок и файлов, где присутствуют "windows" и "system32".Вдруг,что-то не то удалю) Системные файлы не пострадают после очистки. Если ничего не знакомо из найденного, то можете удалить все.
Releland Опубликовано 12 февраля, 2015 Автор Опубликовано 12 февраля, 2015 Вот.Надеюсь,всё правильно сделала. AdwCleanerS1.txt
mike 1 Опубликовано 13 февраля, 2015 Опубликовано 13 февраля, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Releland Опубликовано 13 февраля, 2015 Автор Опубликовано 13 февраля, 2015 Вот. Сделала) Addition.txt FRST.txt
mike 1 Опубликовано 13 февраля, 2015 Опубликовано 13 февраля, 2015 Cохраните файл fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Сделайте новые логи Farbar. fixlist.txt
Releland Опубликовано 13 февраля, 2015 Автор Опубликовано 13 февраля, 2015 Быстро он её создал как-то. Может,что-то не то сделала. Fixlog.txt
mike 1 Опубликовано 13 февраля, 2015 Опубликовано 13 февраля, 2015 Попробуйте выполнить скрипт еще раз. Скрипт не до конца отработал.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти