ransom.shade зашифрованы файлы

[Valek777]

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

419D9A8EFC43B7B3A621|0

на электронный адрес decode00001@gmail.com или decode00002@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

419D9A8EFC43B7B3A621|0

to e-mail address decode00001@gmail.com or decode00002@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

CollectionLog-2015.03.27-22.57.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\clickcaption_1.10.0.2\ie\clickcaptionclientie.dll','');
QuarantineFile('C:\Windows\system32\drivers\ccnfd_1_10_0_2.sys','');
SetServiceStart('ccnfd_1_10_0_2', 4);
DeleteService('ccnfd_1_10_0_2');
DelBHO('{A18EA34C-6D33-4298-8A54-7F16499904C0}');
QuarantineFile('C:\Program Files (x86)\ClickCaption_1.10.0.2\IE\ClickCaptionClientIE.dll','');
DeleteFile('C:\Program Files (x86)\Uniblue\SpeedUpMyPC\speedupmypc.exe','32');
DeleteFile('C:\Program Files (x86)\ClickCaption_1.10.0.2\IE\ClickCaptionClientIE.dll','32');
DeleteFile('C:\Windows\system32\drivers\ccnfd_1_10_0_2.sys','32');
DeleteFile('C:\Program Files\clickcaption_1.10.0.2\ie\clickcaptionclientie.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

[Valek777]

вот что ответили:

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

ccnfd_1_10_0_2.sys - not-a-virus:AdWare.Win32.Vitruvian.c
ClickCaptionClientIE.dll,
clickcaptionclientie.dll - not-a-virus:AdWare.Win32.Vitruvian.b

Это файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. Requests from licensed users, which have been sent from the Dashboard (https://my.kaspersky.com/en/support/viruslab) or CompanyAccount (https://companyaccount.kaspersky.com) will also receive a response from a virus analyst.

ccnfd_1_10_0_2.sys - not-a-virus:AdWare.Win32.Vitruvian.c
ClickCaptionClientIE.dll,
clickcaptionclientie.dll - not-a-virus:AdWare.Win32.Vitruvian.b

These files are Advertizing Tools, theirs detection will be included in the next update of extended databases set. See more info about extended databases here: http://www.kaspersky.com/extraavupdates

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"


--------------------------------------------------------------------------------
From: 
Sent: 3/28/2015 3:56:39 AM
To: newvirus@kaspersky.com
Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0]


LANG: ru
email: 

description:
Выполняется запрос хэлпера

Загруженные файлы:
quarantine.zip

Изменено 28 марта, 2015 пользователем mike 1
Почта скрыта

[mike 1]

Сделайте новые логи по правилам

[Valek777]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

ccnfd_1_10_0_2.sys - not-a-virus:AdWare.Win32.Vitruvian.c

Это файл от рекламной системы. Детектирование файла будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates

С уважением, Лаборатория Касперского

[mike 1]

Еще раз Сделайте новые логи по правилам

 

Правила читали?

[Valek777]

сделал всё снова

CollectionLog-2015.03.29-12.12.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
  
• Нажмите кнопку Scan.
  
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Valek777]

готово

Addition.txt

FRST.txt

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
BHO: ClickCaption -> {A18EA34C-6D33-4298-8A54-7F16499904C0} -> C:\Program Files\ClickCaption_1.10.0.2\IE\ClickCaptionClientIE.dll No File
BHO-x32: No Name -> {1F13CE11-4FAC-49A9-8155-D4F3F0F91A33} ->  No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
Toolbar: HKLM-x32 - No Name - {C7DDDD27-F303-42A5-B979-51559F7DC0F0} -  No File
Toolbar: HKU\S-1-5-21-2100096408-1760635172-1328971810-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-2100096408-1760635172-1328971810-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Task: {E2C46B90-B5F4-4628-A611-1C00D2E55DE5} - System32\Tasks\SpeedUpMyPC Maintenance => C:\Program Files (x86)\Uniblue\SpeedUpMyPC\speedupmypc.exe <==== ATTENTION
Task: {F2143AFD-B913-48AC-9CAE-CA76B6AF8451} - System32\Tasks\SpeedUpMyPC Startup => C:\Program Files (x86)\Uniblue\SpeedUpMyPC\speedupmypc.exe <==== ATTENTION
Task: C:\Windows\Tasks\SpeedUpMyPC Maintenance.job => C:\Program Files (x86)\Uniblue\SpeedUpMyPC\speedupmypc.exe <==== ATTENTION
Task: C:\Windows\Tasks\SpeedUpMyPC Startup.job => C:\Program Files (x86)\Uniblue\SpeedUpMyPC\speedupmypc.exe <==== ATTENTION
C:\Program Files (x86)\Uniblue
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.

[Valek777]

сделал

Fixlog.txt

[thyrex]

С расшифровкой не поможем.

Как вариант, http://virusinfo.info/showthread.php?t=156188