Файлы зашифровались с расширением .cbf, как вылечить?

[Сергей Чернышов]

Доброго времени суток!

После скачивания и распаковки архива из пришедшего письма на мыло "типа из суда" зашифровались файлы (фото, ворд, эксель, фильмы и т.д.) на компьютере новым расширением и именем и не открываются.

Имеют вид типа 

email-oduvansh@aol.com.ver-CL 0.0.1.0.id-NOPPQRRSTTTUVWWXYYZZABBCCCDEFGHHIIJK-24.06.2015 20@39@02289973.randomname-OPPQRSTTTUVWWXXYYZABBBCDDEFGGG.HIJ.cbf где начало файла до randomname- везде одинаково и расширение тоже - .cbf

Файлы не открываются.

Каспер удалил 3 шт WinLNK.startpage.gena из разных мест. Проблему не решило. Инструкции из темы "Порядок оформления запроса о помощи" выполнил.

"Коллекция" во вложении. 

 

Help!. Фото, видео с выписки ребенка, свадьбы и всей семейной жизни по**ились, на остальное пофигу.

а еще была удалена прога Picexa Viewer, мною не устанавливаемая...

а еще была удалена прога Picexa Viewer, мною не устанавливаемая...

CollectionLog-2015.06.26-20.25.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('c:\windows\system32\tiltwheelmouse.exe','');
QuarantineFile('C:\Users\РЕТ\AppData\Roaming\sweet-page\UninstallManager.exe','');
QuarantineFile('C:\Users\РЕТ\AppData\Local\10960\a21063.exe','');
DeleteFile('C:\Users\РЕТ\AppData\Local\10960\a21063.exe','32');
DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64');
DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','64');
DeleteFile('C:\Windows\system32\Tasks\ASP','64');
DeleteFile('C:\Windows\system32\Tasks\LaunchSignup','64');
DeleteFile('C:\Users\РЕТ\AppData\Roaming\sweet-page\UninstallManager.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{D802F0E2-7209-4100-B88F-2FDCB2F6AF4F}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

[Сергей Чернышов]

если правильно понял, что делать, то

 Re: newvirus [KLAN-2920819351]

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.  

quarantine.zip

This file is corrupted.

CollectionLog-2015.06.26-23.49.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Сергей Чернышов]

сделано

Addition.txt

FRST.txt

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
ProxyServer: [S-1-5-21-933512006-1838425674-2600914074-1000] => http=127.0.0.1:9880
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1434616287&z=a1fb17370cb1f52f8f9c56ag8z9c7zbq0g3tbtee4q&from=ient06181&uid=ST1000DM003-9YN162_Z1D0BZHLXXXXZ1D0BZHL
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=AV01
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1407223551&from=cor&uid=ST1000DM003-9YN162_Z1D0BZHLXXXXZ1D0BZHL&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1407223551&from=cor&uid=ST1000DM003-9YN162_Z1D0BZHLXXXXZ1D0BZHL&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1434616287&z=a1fb17370cb1f52f8f9c56ag8z9c7zbq0g3tbtee4q&from=ient06181&uid=ST1000DM003-9YN162_Z1D0BZHLXXXXZ1D0BZHL
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1407223551&from=cor&uid=ST1000DM003-9YN162_Z1D0BZHLXXXXZ1D0BZHL&q={searchTerms}
SearchScopes: HKU\S-1-5-21-933512006-1838425674-2600914074-1000 -> Moikrug URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-933512006-1838425674-2600914074-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-933512006-1838425674-2600914074-1000 -> {0F2754F0-B7DC-4364-BAC3-6EB4F8B437CA} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-933512006-1838425674-2600914074-1000 -> {F7ACA716-595A-4154-A2EC-C29079CB8751} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-933512006-1838425674-2600914074-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
BHO-x32: No Name -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} ->  No File
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
BHO-x32: Рамблер-Ассистент. Загрузчик -> {E1C8A72F-3027-48f7-A333-A5D01EBD4B7E} -> C:\Users\РЕТ\AppData\Local\Rambler\Assist\RamblerBar.dll No File
Toolbar: HKLM-x32 - Рамблер-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Users\РЕТ\AppData\Local\Rambler\Assist\RamblerBar.dll No File
Toolbar: HKU\S-1-5-21-933512006-1838425674-2600914074-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-933512006-1838425674-2600914074-1000 -> No Name - {468CD8A9-7C25-45FA-969E-3D925C689DC4} -  No File
2015-06-18 19:59 - 2015-06-18 19:59 - 00000000 ____D C:\Users\РЕТ\SupTab
2015-06-18 12:31 - 2015-06-18 12:31 - 00000000 ____D C:\Users\Все пользователи\IHProtectUpDate
2015-06-18 12:31 - 2015-06-18 12:31 - 00000000 ____D C:\ProgramData\IHProtectUpDate
2015-06-18 12:31 - 2014-08-05 11:26 - 00000000 ____D C:\Users\Все пользователи\IePluginServices
2015-06-18 12:31 - 2014-08-05 11:26 - 00000000 ____D C:\ProgramData\IePluginServices
C:\Users\РЕТ\AppData\Local\Temp\175A094C93F5E281.exe
C:\Users\РЕТ\AppData\Local\Temp\3EF168C77B424C1.exe
C:\Users\РЕТ\AppData\Local\Temp\6F88BFCA6E86AF7.exe
C:\Users\РЕТ\AppData\Local\Temp\7049445E13A751DB.exe
C:\Users\РЕТ\AppData\Local\Temp\a00eneyy.dll
C:\Users\РЕТ\AppData\Local\Temp\oez2gzsz.dll
Task: {02DAD664-855F-4358-A644-FA5A393E7A46} - \LaunchSignup No Task File <==== ATTENTION
Task: {943D4711-74E9-4C76-B541-ADEC6A989AAA} - \{D802F0E2-7209-4100-B88F-2FDCB2F6AF4F} No Task File <==== ATTENTION
Task: {CE0AC366-8FD3-4750-951C-77A9EAB31CAD} - \ASP No Task File <==== ATTENTION
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

   

   

• Обратите внимание, что компьютер будет перезагружен.

   

   

[Сергей Чернышов]

ок, файл ниже

Fixlog.txt

[thyrex]

С расшифровкой не поможем