Ваши файлы были зашифрованы.xtbl

[antlitvin29]

Доброго времени суток! Так же как и в предыдущих темах черный экран и много тхт-файлов с посланием.

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

21A8478C40FCE8BA2DA2|0

на электронный адрес decode00001@gmail.com или decode00002@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

21A8478C40FCE8BA2DA2|0

to e-mail address decode00001@gmail.com or decode00002@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

 

Вы сможете мне помочь и расшифровать файлы???

 

 

Проверил через Kaspersky Virus Removal Tool все найденные вирусы поместил в карантин.

Логи сборщика CollectionLog-2015.03.08-17.42.zip

 

 

 

 

[thyrex]

Ace Stream Media 2.2.7-next

 

удалите через Установку программ

 

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
SetServiceStart('iSafeKrnlMon', 4);
DeleteService('iSafeKrnlMon');
TerminateProcessByName('c:\users\антон\appdata\local\temp\temp504104554.exe');
QuarantineFile('c:\users\антон\appdata\local\temp\temp504104554.exe','');
TerminateProcessByName('c:\users\антон\appdata\roaming\ssleas.exe');
QuarantineFile('c:\users\антон\appdata\roaming\ssleas.exe','');
TerminateProcessByName('c:\programdata\windows\csrss.exe');
QuarantineFile('c:\programdata\windows\csrss.exe','');
TerminateProcessByName('c:\users\антон\appdata\roaming\cppredistx86.exe');
QuarantineFile('c:\users\антон\appdata\roaming\cppredistx86.exe','');
DeleteFile('c:\users\антон\appdata\roaming\cppredistx86.exe','32');
DeleteFile('c:\programdata\windows\csrss.exe','32');
DeleteFile('c:\users\антон\appdata\roaming\ssleas.exe','32');
DeleteFile('c:\users\антон\appdata\roaming\acestream\updater\ace_update.exe','32');
DeleteFile('c:\users\антон\appdata\local\temp\temp504104554.exe','32');
DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CrashReportNotifyer');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ConnectionVerifyer');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
DeleteFile('C:\Users\антон\appdata\roaming\acestream\engine\ace_engine.exe','32');
DeleteFile('C:\Users\антон\appdata\roaming\acestream\engine\lib\ctools.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

 

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
  
• Нажмите кнопку Scan.
  
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[antlitvin29]

Ответ из лаборатории KLAN-2576724575 :

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

csrss.exe - Backdoor.Win32.Androm.gkll

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

 

 

Логи: Addition.txt  FRST.txt

 

 

 

Также KAV обнаружил Trojan.win32.bitminer.it  C:\users\...\roaming\cppredistx86.exe

[mike 1]

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
() C:\Users\антон\AppData\Roaming\cppredistx86.exe
() C:\Users\антон\AppData\Roaming\ssleas.exe
HKU\S-1-5-21-198947644-2150169765-2906038252-1000\...\Run: [Microsoft Visual C++ 2010] => C:\Users\антон\AppData\Roaming\cppredistx86.exe [428032 2014-11-13] ()
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1406062584&from=ium&uid=HitachiXHTS542516K9SA00_080610BB6300ACJPB73FX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1406062584&from=ium&uid=HitachiXHTS542516K9SA00_080610BB6300ACJPB73FX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1406062584&from=ium&uid=HitachiXHTS542516K9SA00_080610BB6300ACJPB73FX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1406062584&from=ium&uid=HitachiXHTS542516K9SA00_080610BB6300ACJPB73FX&q={searchTerms}
FF Extension: AS Magic Player - C:\Users\антон\AppData\Roaming\Mozilla\Firefox\Profiles\1112zlc4.default\Extensions\magicplayer@acestream.org [2015-02-23]
FF Extension: No Name - C:\Users\антон\AppData\Roaming\Mozilla\Firefox\Profiles\1112zlc4.default\Extensions\YaMusicDownloader@nosite.no.xpi [2014-10-30]
CHR StartupUrls: Default -> "", "hxxp://www.search.ask.com/?o=APN10645A&gct=hp&d=406-390&v=n9178-108&t=4", "hxxp://isearch.omiga-plus.com/?type=hp&ts=1406062584&from=ium&uid=HitachiXHTS542516K9SA00_080610BB6300ACJPB73FX"
CHR Extension: (No Name) - C:\Users\антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-07-08]
CHR Extension: (No Name) - C:\Users\антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-07-08]
CHR Extension: (No Name) - C:\Users\антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\bepbmhgboaologfdajaanbcjmnhjmhfn [2015-03-08]
CHR Extension: (No Name) - C:\Users\антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-07-08]
CHR Extension: (No Name) - C:\Users\антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhpfdkiglaphjhmhojbofcplejkjkoc [2015-03-08]
CHR Extension: (No Name) - C:\Users\антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-07-08]
CHR Extension: (No Name) - C:\Users\антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\mfhnkgpdlogbknkhlgdjlejeljbhflim [2015-03-08]
CHR Extension: (No Name) - C:\Users\антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-07-08]
CHR Extension: (No Name) - C:\Users\антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-07-08]
CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
2015-03-07 21:01 - 2015-03-08 22:57 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-03-07 21:01 - 2015-03-08 22:57 - 00000000 __SHD () C:\ProgramData\Windows
2015-03-07 20:13 - 2015-03-07 20:13 - 00442880 _____ () C:\Users\антон\AppData\Roaming\ssleas.exe
2015-03-07 20:12 - 2015-03-07 20:13 - 00442896 _____ () C:\Users\антон\AppData\Roaming\data13.dat
2015-03-07 16:27 - 2014-11-13 21:17 - 00428032 _____ () C:\Users\антон\AppData\Roaming\cppredistx86.exe
2015-03-08 22:54 - 2014-07-22 22:25 - 00000000 ____D () C:\Users\антон\AppData\Roaming\.ACEStream
2015-03-08 22:54 - 2014-07-22 22:24 - 00000000 ____D () C:\Users\антон\AppData\Roaming\ACEStream
2015-03-07 20:12 - 2015-03-07 20:13 - 0442896 _____ () C:\Users\антон\AppData\Roaming\data13.dat
2014-10-09 13:37 - 2014-10-09 17:45 - 0000462 _____ () C:\Users\антон\AppData\Roaming\del.bat
C:\Users\антон\AppData\Local\Temp\temp2244141084.exe
C:\Users\антон\AppData\Local\Temp\temp3786471440.exe
C:\Users\антон\AppData\Local\Temp\temp504104554.exe
Folder: C:\FRST\Quarantine

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

[antlitvin29]

Fixlog.txt

[mike 1]

Пароль на учетной записи Администратора какой-нибудь стоит?

[antlitvin29]

Нет

[thyrex]

Вот и зря

 

С расшифровкой не поможем

[antlitvin29]

Что за бред, вы хотите сказать, что если бы он стоял вы бы расшифровали??

[thyrex]

Если бы стоял (причем не простой какой-нибудь для подбора), к Вам не зашли бы удаленно и не зашифровали