Все важные файлы на всех дисках зашифрованы...

[LonelyTapok 0]

Блуждал я однажды по игре одной(лицензия, все дела, давно уже играю), решил остановиться, закрыл игру, и тут неприятный сюрприз, красным по черному написано:

 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

F90815273769EAB07010|0

на электронный адрес decoder1112@gmail.com или deshifrovka@india.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

И естественно английская версия сего письма.

 

Система уже стоит полтора года на компе, а так как я не самый аккуратный хозяин(хотя уже несколько месяцев активно ухаживаю за ПК), винда поизносилась, частенько тормозит, так что если лучше ее переустановить, то не стесняйтесь, говорите.

 

 

CollectionLog-2015.03.02-23.38.zip

[thyrex 1 420]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','');
QuarantineFile('C:\Users\Admin\appdata\roaming\newsi_2\s_inst.exe','');
QuarantineFile('C:\Users\Admin\appdata\roaming\newsi_10\s_inst.exe','');
QuarantineFile('C:\Users\Admin\AppData\Roaming\PRICEM~1\UPDATE~1\UPDATE~1.EXE','');
TerminateProcessByName('c:\users\admin\appdata\roaming\ssleas.exe');
QuarantineFile('c:\users\admin\appdata\roaming\ssleas.exe','');
TerminateProcessByName('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe');
QuarantineFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe','');
TerminateProcessByName('c:\users\admin\appdata\roaming\x11\a\engine.exe');
QuarantineFile('c:\users\admin\appdata\roaming\x11\a\engine.exe','');
TerminateProcessByName('c:\programdata\windows\csrss.exe');
QuarantineFile('c:\programdata\windows\csrss.exe','');
TerminateProcessByName('c:\users\admin\appdata\roaming\cppredistx86.exe');
QuarantineFile('c:\users\admin\appdata\roaming\cppredistx86.exe','');
DeleteFile('c:\users\admin\appdata\roaming\cppredistx86.exe','32');
DeleteFile('c:\programdata\windows\csrss.exe','32');
DeleteFile('c:\users\admin\appdata\roaming\x11\a\engine.exe','32');
DeleteFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe','32');
DeleteFile('c:\users\admin\appdata\roaming\ssleas.exe','32');
DeleteFile('C:\Users\Admin\AppData\Roaming\x11\a\libcurl.dll','32');
DeleteFile('C:\Users\Admin\AppData\Roaming\x11\a\libgcc_s_dw2-1.dll','32');
DeleteFile('C:\Users\Admin\AppData\Roaming\x11\a\pthreadGC2.dll','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CMD');
DeleteFile('C:\Users\Admin\AppData\Roaming\PRICEM~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\Price Meter Updater.job','64');
DeleteFile('C:\Windows\system32\Tasks\Price Meter Updater','64');
DeleteFile('C:\Users\Admin\appdata\roaming\newsi_10\s_inst.exe','32');
DeleteFile('C:\Users\Admin\appdata\roaming\newsi_2\s_inst.exe','32');
DeleteFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

 

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
  
• Нажмите кнопку Scan.
  
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[LonelyTapok 0]

Вот ответ лаборатории, а также файлы FRST и Addition:

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

cppredistx86.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.xiw
engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.uvp
Toolbar32.dll - not-a-virus:WebToolbar.Win32.Agent.bgn

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

extensionupdaterservice.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

s_inst.exe - not-a-virus:AdWare.Win32.MMag.f
UPDATE~1.EXE - not-a-virus:AdWare.Win32.DealPly.b

Это файлы от рекламной системы. Детектирование файлов будет добавлено в   следующее обновление расширенного набора баз. Подробная информация о   расширенных базах:http://www.kaspersky.ru/extraavupdates

ssleas.exe

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ru http://www.viruslist.ru"

Addition.txt

FRST.txt

[thyrex 1 420]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
  GroupPolicyUsers\S-1-5-21-3531808659-416195730-4073768148-1002\User: Group Policy restriction detected <======= ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
  CHR HKU\S-1-5-21-3531808659-416195730-4073768148-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
  HKU\S-1-5-21-3531808659-416195730-4073768148-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://ru.msn.com/?ocid=iehp
  BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
  BHO-x32: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
  FF Plugin: @microsoft.com/GENUINE -> disabled No File
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled No File
  FF HKLM\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\Admin\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack
  FF Extension: SuperMegaBest.com - C:\Users\Admin\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack [2015-02-06]
  FF HKLM-x32\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\Admin\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack
  CHR dev: Chrome dev build detected! <======= ATTENTION
  CHR HomePage: Default -> hxxp://2inf.net/?utm_source=startpage
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapbdbdomjkkjkaonfhkkikfgjllcleb [2014-06-15]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-01-28]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-01-28]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\bkailahlmeablpbajegfdlcnabbloadi [2014-06-15]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-01-28]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\bpoemdlgjmjoakeoefgcepdfoaknbdfe [2015-02-12]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2014-01-30]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-01-28]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkgpajbdcbgaciibdeknligdaofmegma [2014-12-07]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\egaecnmidbkmebbfdkmfamphngchhcgm [2015-02-12]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\faminaibgiklngmfpfbhmokfmnglamcm [2015-02-12]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\fcfenmboojpjinhpgggodefccipikbpd [2014-11-22]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\fegphonjfcoifcbaplcapgffpplmifap [2015-02-12]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdknicmnhbaajdglbinpahhapghpakch [2014-12-07]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghgabhipcejejjmhhchfonmamedcbeod [2015-02-12]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gofhjkjmkpinhpoiabjplobcaignabnl [2015-01-02]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\iccjgbbjckehppnpajnmplcccjcgbdep [2015-02-12]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\jedelkhanefmcnpappfhachbpnlhomai [2014-12-07]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\kneggodalbcmgdkkfhbhbicbbahnacjb [2015-01-02]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-02-12]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl [2014-11-22]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\lodhggoaglindpoejnjldimdlikkphph [2015-02-12]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\mhefancifjpfohpomjdalbgeigojecil [2014-05-14]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlbjncdgjeocebhnmkbbbdekmmmcbfjd [2015-01-02]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-01-28]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pganlglbhgfjfgopijbhemcpbehjnpia [2014-12-07]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-01-28]
  CHR HKU\S-1-5-21-3531808659-416195730-4073768148-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - https://clients2.google.com/service/update2/crx
  CHR HKU\S-1-5-21-3531808659-416195730-4073768148-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
  CHR HKLM-x32\...\Chrome\Extension: [aonedlchkbicmhepimiahfalheedjgbh] - https://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [bkailahlmeablpbajegfdlcnabbloadi] - C:\Program Files (x86)\Аудио и видео скачивание\avdownloader-sk.crx [2014-06-15]
  CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - https://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
  CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - https://clients2.google.com/service/update2/crx
  OPR Extension: (SuperMegaBest.com) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\aonedlchkbicmhepimiahfalheedjgbh [2015-02-06]
  OPR Extension: (No Name) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\dkgpajbdcbgaciibdeknligdaofmegma [2014-12-07]
  OPR Extension: (Переводчик для Chrome 2) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\gofhjkjmkpinhpoiabjplobcaignabnl [2015-01-02]
  OPR Extension: (No Name) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\kneggodalbcmgdkkfhbhbicbbahnacjb [2015-01-02]
  OPR Extension: (Переводчик для Chrome 2) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlbjncdgjeocebhnmkbbbdekmmmcbfjd [2015-01-02]
  2015-02-27 14:58 - 2015-02-27 14:58 - 00000000 ____D () C:\Users\Admin\AppData\Roaming\x11
  2015-02-27 14:57 - 2015-02-27 14:57 - 00442896 _____ () C:\Users\Admin\AppData\Roaming\data13.dat
  2015-02-27 15:03 - 2015-03-01 10:12 - 00000000 ___HD () C:\Users\Admin\AppData\Roaming\9E3529A5
  2015-03-03 17:39 - 2014-12-07 19:50 - 00000000 ____D () C:\Program Files (x86)\advPlugin
  2015-03-03 17:39 - 2014-05-14 19:46 - 00000000 ____D () C:\Users\Admin\AppData\Roaming\newSI_10
  2015-03-03 12:23 - 2014-04-10 17:17 - 00000000 ____D () C:\Users\Admin\AppData\Roaming\newSI_2
  2015-02-27 14:57 - 2015-02-27 14:57 - 0442896 _____ () C:\Users\Admin\AppData\Roaming\data13.dat
  2014-06-15 15:22 - 2014-06-15 15:22 - 0000006 _____ () C:\Users\Admin\AppData\Roaming\smw_inst
  Reboot:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

   

   

[LonelyTapok 0]

вот файл, но компьютер не перезагрузился

в FRST надо ставить галочки там, где просили ранее?

Fixlog.txt

[thyrex 1 420]

Странный лог. Вы точно все копировали и сохраняли в файл fixlist.txt ?

[LonelyTapok 0]

проделал все еще раз, все скопировал сохранил как просили, сохранил на рабочий стол так как лаунчер программы там,пишут что все прошло без проблем, компьютер все равно не перезагрузился, файл с кодом который вы мне написали исчезает после фикса, а вот то что он мне ответил

Вообщем повторил я все это дело 3 раз...

Перезагрузка наконец произошла. вот файл

файл, который после долгожданной перезагрузки, этот тот что весит 15,6К

Fixlog.txt

Fixlog.txt

[Roman_Five 489]

всё получилось.

с расшифровкой не поможем.

 

[LonelyTapok 0]

всё получилось.

 

с расшифровкой не поможем.

 

да не беда, а что мы тогда делали тогда??

[thyrex 1 420]

Зачищали следы немерянного количества других вирусов

[Zhecach 0]

То есть с расшифровкой вы вообще не помогаете?

[thyrex 1 420]

Не только мы, но и любой из вирлабов не поможет в данном случае

[Zhecach 0]

Не только мы, но и любой из вирлабов не поможет в данном случае

Тогда зачем это все что проделываю выше? Но что может помочь в данном случае?

[Roman_Five 489]

 

 

Тогда зачем это все что проделываю выше?

Зачищали следы немерянного количества других вирусов

[Zhecach 0]

 

Тогда зачем это все что проделываю выше?

Зачищали следы немерянного количества других вирусов

 

Зачищать что-то вас никто не просит...

На сколько мне известно, люди обращаются сюда с надеждой что вы им поможете в расшифровке, а не в зачистке.