Все ваши файлы зашифрованы! К расширению файлов добавилось sivtyfuh332kgayz.onion@mail.ru_FMKum8h

[Антон Кажаев]

Добрый день, нужна помощь!

На компьютере зашифрованы все файлы.

в каждой папке на компютере появился html файл следующего содержания

КАК_РАСШИФРОВАТЬ_ФАЙЛЫ
 

CollectionLog-2015.05.19-12.52.zip

[Roman_Five]

деинсталлируйте:

RelevantKnowledge [2015/03/25 10:38:20]-->C:\Program Files (x86)\RelevantKnowledge\rlvknlg.exe -bootremove -uninst:RelevantKnowledge

прикрепите файл

C:\Users\adamantus\AppData\Roaming\sivtyfuh332kgayz.onion

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
QuarantineFile('C:\Windows\system32\drivers\{0dd9a828-65e1-4c37-98c6-d39c76a89715}Gw64.sys','');
DeleteFile('C:\Windows\system32\drivers\{0dd9a828-65e1-4c37-98c6-d39c76a89715}Gw64.sys','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:
 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.

Сделайте новые логи по правилам (только пункт 2).

[Антон Кажаев]

 

деинсталлируйте:

RelevantKnowledge [2015/03/25 10:38:20]-->C:\Program Files (x86)\RelevantKnowledge\rlvknlg.exe -bootremove -uninst:RelevantKnowledge

пишет:

 

"rlvknlg.exe"  не является внутренней или внешней командой, исполняемой программой 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

 

{0dd9a828-65e1-4c37-98c6-d39c76a89715}Gw64.sys

 

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

 

С уважением, Лаборатория Касперского

 

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

 

Hello,

 

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. 

 

{0dd9a828-65e1-4c37-98c6-d39c76a89715}Gw64.sys

 

An unknown file has been received. It will be sent to the Virus Lab.

 

Best Regards, Kaspersky Lab

 

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

-----------

 

прикрепите файл

C:\Users\adamantus\AppData\Roaming\sivtyfuh332kgayz.onion

этой папка, а не файл, все содержимое скинул в предыдущем сообщении

CollectionLog-2015.05.19-15.36.zip

files.txt

msg.html

КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html

Изменено 19 мая, 2015 пользователем Антон Кажаев

[thyrex]

Сделайте лог полного сканирования МВАМ

[Антон Кажаев]

Сделайте лог полного сканирования МВАМ

mbam.txt

[mike 1]

Удалите в MBAM все, кроме:

Processes: 1
Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, 1900, , [c81af4a191f956e0bb59a1e652aed52b]

Files: 155
Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, , [c81af4a191f956e0bb59a1e652aed52b], 
PUP.PSWTool.ProductKey, C:\Activators\KMSAuto Pro 1.25.1 Portable\bin\pdk.dll, , [e8faa3f29feb33034ea74f3a748cff01], 
Hacktool.Agent, C:\Activators\Windows Loader 2.2.2 by Daz\Windows Loader.exe, , [a73bb4e1bbcfa690b6567707827f41bf], 
PUP.Hacktool, C:\Program Files (x86)\Microsoft Office\activator.exe, , [637feca9f199191d13b2e4c93bc535cb],

[Антон Кажаев]

Добрый день, что делать дальше?

[thyrex]

Написанное в сообщении №6 выполнили?

[Антон Кажаев]

Написанное в сообщении №6 выполнили?

 

Да

[mike 1]

Пробуйте http://media.kaspersky.com/utilities/VirusUtilities/RU/rakhnidecryptor.exe

[Антон Кажаев]

Пробуйте http://media.kaspersky.com/utilities/VirusUtilities/RU/rakhnidecryptor.exe

 

пишет "невозможно подобрать пароль"

[mike 1]

Ну, значит с расшифровкой не поможем. Возможно смогут помочь в DrWeb.