Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы.

[anton9000]

Здравствуйте. Проблема состоит в том, что на экране появилась надпись красными буквами по черному "Внимание! Все важные файлы на всех дисках вашего компьютера зашифрованы..." и появилось 10 текстовых файлов Readme. В них написано следующее:
Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

D7F2C9C5AC174A753455|0

на электронный адрес decode010@gmail.com или decode1110@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

D7F2C9C5AC174A753455|0

to e-mail address decode010@gmail.com or decode1110@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

Прошу помощи. 

 

Информация

Картинку огромных размеров убрал

CollectionLog-2015.06.07-15.00.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Антон\appdata\roaming\x11\a\engine.exe','');
QuarantineFile('C:\Users\Антон\appdata\local\smartweb\__u.exe','');
QuarantineFile('C:\Users\Антон\AppData\Local\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('C:\Program Files (x86)\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-7.exe','');
QuarantineFile('C:\Program Files (x86)\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-6.exe','');
QuarantineFile('C:\Program Files (x86)\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-5.exe','');
QuarantineFile('C:\Program Files (x86)\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-3.exe','');
QuarantineFile('C:\Program Files (x86)\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-10.exe','');
QuarantineFile('C:\Program Files (x86)\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-1-7.exe','');
QuarantineFile('C:\Program Files (x86)\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-1-6.exe','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
QuarantineFile('C:\Windows\system32\drivers\qrnfd_1_10_0_9.sys','');
DeleteService('qrnfd_1_10_0_9');
TerminateProcessByName('c:\users\Антон\appdata\roaming\ssleas.exe');
QuarantineFile('c:\users\Антон\appdata\roaming\ssleas.exe','');
DeleteFile('c:\users\Антон\appdata\roaming\ssleas.exe','32');
DeleteFile('C:\Windows\system32\drivers\qrnfd_1_10_0_9.sys','32');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Program Files (x86)\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-1-6.exe','32');
DeleteFile('C:\Program Files (x86)\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-1-7.exe','32');
DeleteFile('C:\Program Files (x86)\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-10.exe','32');
DeleteFile('C:\Program Files (x86)\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-3.exe','32');
DeleteFile('C:\Program Files (x86)\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-5.exe','32');
DeleteFile('C:\Program Files (x86)\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-6.exe','32');
DeleteFile('C:\Program Files (x86)\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-7.exe','32');
DeleteFile('C:\Windows\Tasks\ddfbb344-2123-4a91-b89a-28f72e069b86-7.job','64');
DeleteFile('C:\Windows\Tasks\ddfbb344-2123-4a91-b89a-28f72e069b86-6.job','64');
DeleteFile('C:\Windows\Tasks\ddfbb344-2123-4a91-b89a-28f72e069b86-5_user.job','64');
DeleteFile('C:\Windows\Tasks\ddfbb344-2123-4a91-b89a-28f72e069b86-5.job','64');
DeleteFile('C:\Windows\Tasks\ddfbb344-2123-4a91-b89a-28f72e069b86-3.job','64');
DeleteFile('C:\Windows\Tasks\ddfbb344-2123-4a91-b89a-28f72e069b86-10_user.job','64');
DeleteFile('C:\Windows\Tasks\ddfbb344-2123-4a91-b89a-28f72e069b86-1-7.job','64');
DeleteFile('C:\Windows\Tasks\RMJPES.job','64');
DeleteFile('C:\Windows\Tasks\ddfbb344-2123-4a91-b89a-28f72e069b86-1-6.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\Windows\system32\Tasks\ddfbb344-2123-4a91-b89a-28f72e069b86-1-6','64');
DeleteFile('C:\Windows\system32\Tasks\ddfbb344-2123-4a91-b89a-28f72e069b86-6','64');
DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
DeleteFile('C:\Users\Антон\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
DeleteFile('C:\Users\Антон\appdata\local\smartweb\__u.exe','32');
DeleteFile('C:\Users\Антон\appdata\roaming\x11\a\engine.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

[anton9000]

[KLAN-2843106245]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

__u.exe - not-a-virus:AdWare.Win32.PriceGong.a

Это файл от рекламной системы. Детектирование файла будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates

csrss.exe - Backdoor.Win32.Androm.hdrc
ssleas.exe - Trojan.Win32.Kesels.a

Детектирование файлов будет добавлено в следующее обновление.

engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.uvp

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

[thyrex]

Ждем новые логи

[anton9000]

Извиняюсь, не увидел.
Вот новые.

CollectionLog-2015.06.07-16.24.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
  
• Нажмите кнопку Scan.
  
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

[anton9000]

Благодарю за ответ. 
Вот файлы. 

FRST.txt

Addition.txt

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
HKLM-x32\...\Run: [gmsd_ru_180] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-28150623-3941293484-1406386480-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://2knl.org/?src=hp4&subid1=feb
2015-06-07 14:14 - 2015-06-07 14:14 - 03888054 _____ C:\Users\Антон\AppData\Roaming\77285C4C77285C4C.bmp
2015-06-07 14:14 - 2015-06-07 14:14 - 00000893 _____ C:\Users\Антон\Desktop\README9.txt
2015-06-07 14:14 - 2015-06-07 14:14 - 00000893 _____ C:\Users\Антон\Desktop\README8.txt
2015-06-07 14:14 - 2015-06-07 14:14 - 00000893 _____ C:\Users\Антон\Desktop\README7.txt
2015-06-07 14:14 - 2015-06-07 14:14 - 00000893 _____ C:\Users\Антон\Desktop\README6.txt
2015-06-07 14:14 - 2015-06-07 14:14 - 00000893 _____ C:\Users\Антон\Desktop\README5.txt
2015-06-07 14:14 - 2015-06-07 14:14 - 00000893 _____ C:\Users\Антон\Desktop\README4.txt
2015-06-07 14:14 - 2015-06-07 14:14 - 00000893 _____ C:\Users\Антон\Desktop\README3.txt
2015-06-07 14:14 - 2015-06-07 14:14 - 00000893 _____ C:\Users\Антон\Desktop\README2.txt
2015-06-07 14:14 - 2015-06-07 14:14 - 00000893 _____ C:\Users\Антон\Desktop\README10.txt
Task: {620E9349-A613-47E8-B6A3-860A2F687817} - \SmartWeb Upgrade Trigger Task No Task File <==== ATTENTION
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
Task: {E64F870C-877F-43D6-8D04-F2FC3B529EAB} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2015-03-29] (globalUpdate) <==== ATTENTION
Task: {4BBC7B41-1D2B-4C80-93DA-8AA3D41FE2D5} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2015-03-29] (globalUpdate) <==== ATTENTION
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.
  

[anton9000]

Сделано.

Fixlog.txt

[thyrex]

Мусор почистили.

 

С расшифровкой не поможем.

 

Как вариант, http://virusinfo.info/showthread.php?t=156188  (тему на Вирусинфо создавать не нужно)

[anton9000]

Огромное спасибо. Есть ли какая-либо профилактика, чтобы подобное не повторилось? Ну, исключая вариант "просто быть осторожнее". 

[anton9000]

Если все сделать что выше указано то вирус остановится и прекратит щифрование? ну я знаю что для каждого свой АVZ выолняется

Попробовал сохранить случайную картинку - все нормально, не зашифрована... Ну, вроде как все в порядке. Остались только прошлые зашифрованные файлы.

[thyrex]

Вируса на компьютере нет. Потому все новое не будет шифроваться

 

По поводу остального - только профилактика

http://virusinfo.info/announcement.php?f=46&a=52