зашифрованы файлы decode010@gmail.com

[nic_nos]

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

3AD41CD8A5414F5E46DC|0

на электронный адрес decode010@gmail.com или decode1110@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

Спасибо за помощь

CollectionLog-2015.07.13-09.01.zip

Изменено 13 июля, 2015 пользователем nic_nos

[thyrex]

Логи переделайте обычной версией Autologger, а не спецверсией

[nic_nos]

Логи переделайте обычной версией Autologger, а не спецверсией

CollectionLog-2015.07.13-13.52.zip

[thyrex]

mobogenie разных мастей удалите через Установку программ

 

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\Pay-By-Ads\Yahoo! Search\1.3.24.4\dsrlte.exe','');
QuarantineFile('C:\Users\Admin\AppData\Local\Microsoft\Windows\Vkmusicdownloader.exe','');
QuarantineFile('C:\Users\Admin\AppData\Roaming\Dorrible\Ribble\d.exe','');
QuarantineFile('C:\Users\Admin\AppData\Local\SystemDir\nethost.exe','');
QuarantineFile('C:\Program Files (x86)\ver6BlockAndSurf\J6BlockAndSurfR79.exe','');
DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{FB4F6285-4C32-49F2-950F-A5998F9CEC6C}');
DelBHO('{50F4150A-48B2-417A-BE4C-C83F580FB904}');
QuarantineFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.resworb-mooronik.bat','');
QuarantineFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\Admin\AppData\Local\Kometa\Application\kometa.exe','');
QuarantineFile('C:\Users\Admin\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
QuarantineFile('C:\Users\Admin\AppData\Local\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('C:\Users\Admin\AppData\Local\Yandex\browser.bat','');
QuarantineFile('C:\ProgramData\Microsoft Help\Rgstrtn.lck','');
QuarantineFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe','');
DeleteService('QMUdisk');
QuarantineFile('C:\WINDOWS\system32\drivers\screentk.sys','');
DeleteService('screentk');
DeleteService('BDMWrench_x64');
SetServiceStart('MobogenieService', 4);
DeleteService('MobogenieService');
QuarantineFile('C:\Program Files (x86)\Blazers\Watsvc.exe','');
QuarantineFile('D:\IQIYI Video\Common\Accelerator\VideoInfoExtract.dll','');
QuarantineFile('D:\IQIYI Video\Common\Accelerator\IEHelper.dll','');
TerminateProcessByName('c:\program files (x86)\mobogenie3\mobogenieservice.exe');
TerminateProcessByName('c:\program files (x86)\mobogenie3\mobogeniep2sp.exe');
TerminateProcessByName('c:\program files (x86)\mobogenie3\mobogeniehelper.exe');
DeleteFile('c:\program files (x86)\mobogenie3\mobogeniehelper.exe','32');
DeleteFile('c:\program files (x86)\mobogenie3\mobogeniep2sp.exe','32');
DeleteFile('c:\program files (x86)\mobogenie3\mobogenieservice.exe','32');
DeleteFile('C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3198\npQQPhoneManagerExt.dll','32');
DeleteFile('D:\IQIYI Video\Common\Accelerator\IEHelper.dll','32');
DeleteFile('D:\IQIYI Video\Common\Accelerator\VideoInfoExtract.dll','32');
DeleteFile('C:\WINDOWS\system32\DRIVERS\BDMWrench_x64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\screentk.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\TS888x64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QMUdisk64.sys','32');
DeleteFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe','32');
DeleteFile('C:\Users\Admin\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\Users\Admin\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
DeleteFile('C:\Users\Admin\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
DeleteFile('C:\Users\Admin\AppData\Local\Kometa\Application\kometa.exe','32');
DeleteFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.resworb-mooronik.bat','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svgddqrcxi');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\plugins\FileSmash\QMSoftExt.dll','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\Program Files (x86)\ver6BlockAndSurf\J6BlockAndSurfR79.exe','32');
DeleteFile('C:\WINDOWS\Tasks\BlockAndSurf Update.job','64');
DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\WINDOWS\system32\Tasks\BlockAndSurf Update','64');
DeleteFile('C:\WINDOWS\system32\Tasks\kbrowser-updater-utility','64');
DeleteFile('C:\Users\Admin\AppData\Local\SystemDir\nethost.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\nethost task','64');
DeleteFile('C:\Users\Admin\AppData\Roaming\Dorrible\Ribble\d.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Ribble','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Safebrowser','64');
DeleteFile('C:\WINDOWS\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Vkmusicdownloader','64');
DeleteFile('C:\Users\Admin\AppData\Local\Microsoft\Windows\Vkmusicdownloader.exe','32');
DeleteFile('C:\Program Files (x86)\Pay-By-Ads\Yahoo! Search\1.3.24.4\dsrlte.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Yahoo! Search','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.
  
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  
• Прикрепите этот отчет к своему следующему сообщению.
  

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[nic_nos]

KLAN-2966509879

exe.erolpxei.bat

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

Watsvc.exe

Вредоносный код в файле не обнаружен.

 

ClearLNK-13.07.2015_14-52.log

CollectionLog-2015.07.13-15.03.zip

[mike 1]

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

[nic_nos]

я так понимаю, что восстановить все "закодированные" мультимедиа и 1С файлы простым путем не получится, только теневыми копиями? 

AdwCleanerR1.txt

AdwCleanerS0.txt

[thyrex]

я так понимаю

правильно понимаете

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[nic_nos]

а всяческие декрипторы в вашего сайта пока не умеют с ним бороться?

http://support.kaspersky.ru/viruses/utility

Addition.txt

FRST.txt

[thyrex]

 

 

а всяческие декрипторы в вашего сайта пока не умеют с ним бороться?

Тот, что якобы умеет, раздает техподдержка обладателям действующей лицензии на любой из коммерческих продуктов

 

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
2015-07-09 00:57 - 2015-07-09 00:57 - 00000893 _____ C:\Users\Admin\Desktop\README9.txt
2015-07-09 00:57 - 2015-07-09 00:57 - 00000893 _____ C:\Users\Admin\Desktop\README8.txt
2015-07-09 00:57 - 2015-07-09 00:57 - 00000893 _____ C:\Users\Admin\Desktop\README7.txt
2015-07-09 00:57 - 2015-07-09 00:57 - 00000893 _____ C:\Users\Admin\Desktop\README6.txt
2015-07-09 00:57 - 2015-07-09 00:57 - 00000893 _____ C:\Users\Admin\Desktop\README5.txt
2015-07-09 00:57 - 2015-07-09 00:57 - 00000893 _____ C:\Users\Admin\Desktop\README4.txt
2015-07-09 00:57 - 2015-07-09 00:57 - 00000893 _____ C:\Users\Admin\Desktop\README3.txt
2015-07-09 00:57 - 2015-07-09 00:57 - 00000893 _____ C:\Users\Admin\Desktop\README2.txt
2015-07-09 00:57 - 2015-07-09 00:57 - 00000893 _____ C:\Users\Admin\Desktop\README10.txt
2015-07-08 20:19 - 2015-07-09 10:27 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-07-08 20:19 - 2015-07-09 10:27 - 00000000 __SHD C:\ProgramData\Windows
HKLM-x32\...\Run: [wscript.exe] => wscript.exe //B C:\WINDOWS\win.vbs
HKLM-x32\...\Run: [InstallUpdate] => [X]
ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  No File
ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  No File
ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-2867805189-1416351308-2585298348-1002\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-2867805189-1416351308-2585298348-1002 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=715bcf83603cc381cb2dd7db338b6697&text= <==== ATTENTION
FF Homepage: user_pref("browser.startup.homepage","hxxp://searchsimple-a.akamaihd.net/?affID=cp-9050-5559");
FF SelectedSearchEngineuser_pref("browser.search.selectedEngine","Yahoo! Search");: user_pref("browser.search.selectedEngine","Yahoo! Search");
FF DefaultSearchEngineuser_pref("browser.search.defaultenginename","Yahoo! Search");: user_pref("browser.search.defaultenginename","Yahoo! Search");
FF Keyword.URL: user_pref("keyword.URL","hxxp://searchsimple-a.akamaihd.net/?q=");
FF NewTab: user_pref("browser.newtab.url","hxxp://searchsimple-a.akamaihd.net/?m=tab&affID=cp-9050-5559");
FF Plugin: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File
FF Plugin-x32: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File
FF Plugin-x32: @qq.com/npAndroidAssistant -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3198\npQQPhoneManagerExt.dll No File
FF SearchPlugin: C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\dsrlte1.xml [2015-06-02]
FF SearchPlugin: C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\yandex.ru-143856.xml [2015-02-10]
Task: {6D8D0433-C548-440B-8A5F-74BE522A806C} - \Vkmusicdownloader No Task File <==== ATTENTION
Task: {8E8CB08D-9293-4E07-876F-09A144868441} - \kbrowser-updater-utility No Task File <==== ATTENTION
HKU\S-1-5-21-2867805189-1416351308-2585298348-1002\Control Panel\Desktop\\Wallpaper -> C:\Users\Admin\AppData\Roaming\AB135500AB135500.bmp
FirewallRules: [TCP Query User{03C8DF55-B9E7-48B3-9EDF-4ADB0867B8AA}C:\program files (x86)\mobogenie3\mobogeniehelper.exe] => (Block) C:\program files (x86)\mobogenie3\mobogeniehelper.exe
FirewallRules: [UDP Query User{617B331E-B673-491C-9FCC-D9790FAFE5D0}C:\program files (x86)\mobogenie3\mobogeniehelper.exe] => (Block) C:\program files (x86)\mobogenie3\mobogeniehelper.exe
FirewallRules: [{CD0875C0-8E92-41F6-ACEF-51D395035242}] => (Allow) D:\IQIYI Video\LStyle\QyClient.exe
FirewallRules: [{38C13BB4-01DE-4FFB-B4B6-F34CF45BD6EC}] => (Allow) D:\IQIYI Video\LStyle\QyWebPlayer.exe
FirewallRules: [{B78EE8AF-AD0D-468F-8872-7AC7BE34A7ED}] => (Allow) D:\IQIYI Video\Common\HCDNClient.exe
FirewallRules: [{A4BDB9A3-1242-49AA-A8E5-3A3A1B6C25AB}] => (Allow) D:\IQIYI Video\LStyle\QyPlayer.exe
FirewallRules: [{F886ED67-AF1F-4781-BDDA-00B1E57F2624}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{7E9174F3-0F6A-4D42-9922-A6B128CB9274}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{BCB42DE5-E8A4-4A8E-940E-C15FBDF0337D}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{3942381E-B98C-42FB-AC24-9C1EE6D4E8CE}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{1DAC9BB5-1FD8-435A-821A-FCC6D6D0BDF3}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{4B656EAE-5DA1-41FE-B8D5-FB09327C784D}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{3D7AD44F-8F08-49E6-880A-A589178793DF}] => (Allow) C:\Users\Admin\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe
FirewallRules: [{1DD01912-0FDC-4198-AA51-F8D1BBAFEA55}] => (Allow) D:\IQIYI Video\LStyle\QyClient.exe
FirewallRules: [{B70B58E9-9568-44FB-AADB-743E24444BB1}] => (Allow) D:\IQIYI Video\LStyle\QyWebPlayer.exe
FirewallRules: [{0A9CAA21-4EF0-4057-85A8-76BB824A8645}] => (Allow) D:\IQIYI Video\Common\QyKernel.exe
FirewallRules: [{565C1000-965C-4582-B3C7-D76BF38B7CC5}] => (Allow) D:\IQIYI Video\LStyle\QyPlayer.exe
FirewallRules: [{862D9C26-A51D-46D5-AC10-C9943D4A2A05}] => (Allow) C:\Users\Admin\AppData\Roaming\IQIYI Video\LStyle\GpUpdate.exe
FirewallRules: [{98EBC34F-1FBF-40F8-B459-B09708418DCB}] => (Allow) D:\IQIYI Video\LStyle\GeePlayer\GeePlayer.exe
FirewallRules: [{DB3FA845-F4F6-4E48-9E64-7E4592C0D04C}] => (Allow) C:\Program Files (x86)\Mobogenie3\mobogenieP2sp.exe
FirewallRules: [{98D0FB34-F23B-42EA-A198-D35C7535BAA2}] => (Allow) C:\Program Files (x86)\Mobogenie3\mobogenieP2sp.exe
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.
  

[nic_nos]

а ведь мы можем купить лицензию хоть сегодня, какой шанс на то, что декриптор справится?

Fixlog.txt

[thyrex]

 

 

какой шанс на то, что декриптор справится?

об этом известно только техподдержке.

 

Мы Вам больше ничем не сможем помочь

[nic_nos]

 это звучало как приговор  спасибо за помощь 

итак, по новым шифровальщикам. техподдержка работает по каждому случаю отдельно.

Если у вас есть тело вируса, не зараженный файл и он же зараженный, то можно попытаться через личный кабинет техподдержки, при наличии активного ключа антивируса касперского, сдать все файлы для проведения анализа с целью выявить ваш собственный ключ. Шанс не велик, времени займет тоже не мало, но если у вас там фотки за 100 лет, то, я думаю, стоит попробовать. Либо платить 15000, универсального решения пока нет.

Полезные программы бы так писали, как эти локеры пишут.

[thyrex]

А файл Readme.txt у Вас не просили? Специально один не удаляли на Рабочем столе

[nic_nos]

А файл Readme.txt у Вас не просили? Специально один не удаляли на Рабочем столе

про ридми, на удивление, не спросили, хотя, безусловно, это необходимо. Если что, ключ есть в первом посте, этого, я считаю, будет достаточно.

Сегодня займемся поиском одинаковых целых и битых файлов. Ну и отправкой в службу.

По прогрессу отпишусь, т.к. тема с .XTBL принимает серьезные масштабы