Помогите. Шифровальщик

[baza450]

Добрый день. Зашифровало документы. Расширение всех документов теперь *.Lqroqia

Как лечить эту напасть.

Я не знаю, какую еще необходимо прикладывать информацию. Первый раз на вашем форуме и первый раз столкнулся с такой проблемой.

Читаю "Чаво". выполню размещенные там рекомендации и прикреплю к теме

[mike 1]

Выполните http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[baza450]

Добрый день. Во вложении Collection log

Небольшое отступление. Письмо с вредоносным ПО было удалено. Но при сканировании одним из антивирусов в темпах были обнаружены два exe файла которые совпадали по датам и времени с происшествием. Они были удалены (есть архив с ними). Что интересно, до этого сканировал систему CureIt  и он их не увидел. Так же там лежал временный файл. Название непонятное, размер целый Гигабайт, по дате и времени тоже совпадает с происшествием.

CollectionLog-2015.04.29-10.26.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

 QuarantineFile('C:\WINDOWS\TEMP\hnkepwj.exe','');

 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');

 DeleteFile('C:\WINDOWS\Tasks\ydzgkra.job','32');

 DeleteFile('C:\WINDOWS\TEMP\hnkepwj.exe','32');

ExecuteSysClean;

RebootWindows(true);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://sindex.biz/?company=1

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

 

 

Сделайте новые логи Автологгером. 

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  

• Прикрепите отчет к своему следующему сообщению.
  

 

Подробнее читайте в этом руководстве.

 

 

[baza450]

Сейчас выполню все инструкции, но указанный экзешник могу прямо сейчас прислать. я их ранее заархивировал... они во вложении. Пароль virus

И когда перехожу по ссылке на форму там необходимо залогиниться. форма доступна только зарегистрированным пользователям?

Изменено 29 апреля, 2015 пользователем mike 1
Карантин в теме.

[mike 1]

 

 

 форма доступна только зарегистрированным пользователям?

Нет. Отправьте карантин на newvirus@kaspersky.com

[baza450]

Это ответ на запрос через форму.

newvirus@kaspersky.com — Re: [VirLabSRF][undetected malware sample][M:1][LN:ru][L:0] [KLAN-2723230868]

Подробнее

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

hnkepwj.exe,
typu.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

Все выполнил.

Скажите, есть надежда расшифровать файлы?

AdwCleanerR0.txt

CollectionLog-2015.04.29-15.33.zip

[Roman_Five]

удалите всё найденное в AdwCleaner (можете оставить Mail.ru и Яндекс)
 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160

[baza450]

Добрый день. Так все таки,  есть надежда расшифровать файлы?

[mike 1]

Никакой. Это CTB Locker поэтому без шансов.

Изменено 5 мая, 2015 пользователем mike 1

[baza450]

Спасибо.

[mike 1]

Отчет после очистки в AdwCleaner прикрепите.