Ваши файлы были зашифрованы.

12 февраля, 2015

При включении компьютера поменялся фон рабочего стола с надписью,что все файлы моего компьютера были зашифрованы. И появилось миллиард блокнотов с содержимым:

"Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

E77DD37FA3619117ACC0|0

на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

E77DD37FA3619117ACC0|0

to e-mail address deshifrator01@gmail.com or deshifrovka@india.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data."

P.S: Я совершенно не разбираюсь ни в программах, ни в чём, что касается компьютера. Я очень прошу помочь, но ооочень доступным языком) Заранее спасибо.

CollectionLog-2015.02.12-15.36.zip

12 февраля, 2015

Логи нужно переделать без запущенного KVRT (Kaspersky Virus Removal Tool)

12 февраля, 2015

Теперь вроде нормально сделала.

CollectionLog-2015.02.12-18.59.zip

12 февраля, 2015

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):



begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

  then

   begin

    SearchRootkit(true, true);

    SetAVZGuardStatus(true);

   end;

 ClearQuarantine;

 QuarantineFile('C:\Program Files\opera\program\plugins\npapihelper.dll','');

 QuarantineFile('C:\Users\Check\appdata\local\microsoft\internet explorer\extensions\apihelper.dll','');

 QuarantineFile('C:\Users\Check\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll','');

 QuarantineFile('C:\PROGRA~2\Mozilla\uxdelih.exe','');

 QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe','');

 QuarantineFile('C:\Windows\system32\regedit.exe','');

 QuarantineFile('C:\Windows\System32\ir16_32.dll','');

 QuarantineFile('C:\Windows\System32\d3dadapter.dll','');

 QuarantineFile('C:\Windows\System32\KBDMAI.dll','');

 QuarantineFile('C:\Users\Check\AppData\Roaming\eTranslator\eTranslator.exe','');

 QuarantineFile('C:\Users\Check\AppData\Local\Temp\69C9.tmp.exe','');

 QuarantineFile('C:\Program Files\baidu\BindEx.exe','');

 DeleteFile('C:\Windows\system32\DRIVERS\BDEnhanceBoost.sys','32');

 DeleteFile('C:\Program Files\baidu\BindEx.exe','32');

 DeleteFile('C:\Users\Check\AppData\Local\Temp\69C9.tmp.exe','32');

 DeleteFile('C:\Users\Check\AppData\Roaming\eTranslator\eTranslator.exe','32');

 DeleteFile('C:\Windows\system32\regedit.exe','32');

 DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32');

 DeleteFile('C:\Windows\system32\Tasks\chrome5','32');

 DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','32');

 DeleteFile('C:\PROGRA~2\Mozilla\uxdelih.exe','32');

 DeleteFile('C:\Windows\system32\Tasks\zxudpqi','32');

 DeleteFile('C:\Windows\system32\d3dadapter.dll','32');

 DeleteFile('C:\Windows\system32\ir16_32.dll','32');

 DeleteFile('C:\Windows\system32\kbdmai.dll','32');

 DeleteFile('C:\Users\Check\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll','32');

 DeleteFile('C:\Users\Check\appdata\local\microsoft\internet explorer\extensions\apihelper.dll','32');

 DeleteFile('C:\Program Files\opera\program\plugins\npapihelper.dll','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MicrosoftUpdate','command');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Update');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\kbdmai\Parameters','ServiceDll');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\d3dadapter\Parameters','ServiceDll');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ir16_32\Parameters','ServiceDll');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Regedit32','command');

 DeleteService('BDEnhanceBoost');     

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

 ExecuteRepair(2);

RebootWindows(false);

end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:



begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=%SID%&text={searchTerms}

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=%SID%&text={searchTerms}

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://2inf.net/?utm_source=startpage

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=9e585b57913204de3da3258ce965bdf7&text=

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=9e585b57913204de3da3258ce965bdf7&text=

O2 - BHO: APIHelperBHO - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\Users\Check\AppData\Local\Microsoft\Internet Explorer\Extensions\APIHelper.dll

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

O2 - BHO: GBHO.BHO - {c20391ee-b6fd-4a35-9f1b-2892dda5b107} - mscoree.dll

O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)

O3 - Toolbar: Smart Recovery 2 - {a011d643-4a67-4934-a775-46139847d7f2} - mscoree.dll

O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll

O20 - AppInit_DLLs: Ф7

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

Сделайте новые логи Автологгером.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

В следующем вашем ответе мне требуются следующие отчеты:

1. CollectionLog-yyyy.mm.dd-hh.mm.zip

2. ClearLNK-<Дата>.log

3. AdwCleaner[R0].txt

12 февраля, 2015

AdwCleaner пишет мне снять флажок с ( не поняла с каких элементов), которых я хочу сохранить. Я видимо не конечный блокнотик вам прислала. Только сейчас заметила,что нет кнопки "отчёт", как написано в инструкции.

CollectionLog-2015.02.13-01.48.zip

ClearLNK-13.02.2015_00-22.log

AdwCleanerR2.txt

12 февраля, 2015

Да, немного кнопки поменяли. Похоже опять придется инструкцию переписывать.

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Изменено 12 февраля, 2015 пользователем mike 1

12 февраля, 2015

В какой из вкладок? я просто снимаю флажки и ничего не меняется. Или что-то потом надо будет нажать после того,как сниму флажки? Там только программы? Просто стоит ещё галочка, где написано C:\Windows\sistem32\config\systemprofile\AppData\Roaming\baidu

Если я там не сниму галочку, то он это удалит? Меня просто пугают все названия папок и файлов, где присутствуют "windows" и "system32".Вдруг,что-то не то удалю)

12 февраля, 2015

Если я там не сниму галочку, то он это удалит?

Да. Инструкцию обновили по ссылке.

Меня просто пугают все названия папок и файлов, где присутствуют "windows" и "system32".Вдруг,что-то не то удалю)

Системные файлы не пострадают после очистки. Если ничего не знакомо из найденного, то можете удалить все.

12 февраля, 2015

Вот.Надеюсь,всё правильно сделала.

AdwCleanerS1.txt

13 февраля, 2015

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

13 февраля, 2015

Вот. Сделала)

Addition.txt

FRST.txt

13 февраля, 2015

Cохраните файл fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Сделайте новые логи Farbar.

fixlist.txt

13 февраля, 2015

Быстро он её создал как-то. Может,что-то не то сделала.

Fixlog.txt

13 февраля, 2015

Попробуйте выполнить скрипт еще раз. Скрипт не до конца отработал.

13 февраля, 2015

дубль два.

Fixlog.txt

Ваши файлы были зашифрованы.

Рекомендуемые сообщения

Releland

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Изображения в теме

mike 1

Releland

mike 1

Releland

mike 1

Releland

mike 1

Releland

mike 1

Releland

mike 1

Releland

mike 1

Releland

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum