Вирус. Шифрованные файлы на диске

[Yad]

Добрый день, словил вирус, зашифрованы все фотки, просьба помочь!

 

Вот сообщение:

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
C04211E62E536BAB8A10|0
на электронный адрес decode010@gmail.com или decode1110@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 

CollectionLog-2015.07.13-11.47.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\torrent search\basement\extensionupdaterservice.exe','');
QuarantineFile('C:\Users\Валентин\appdata\roaming\aspackage\aspackage.exe','');
QuarantineFile('C:\Windows\system32\Drivers\nethfdrv.sys','');
QuarantineFile('C:\Windows\system32\hfpapi.dll','');
QuarantineFile('C:\Program Files\Kinoroom Browser\kinoroom-browser.exe','');
QuarantineFile('C:\Program Files\BonanzaDeals\BonanzaDealsUpdate.exe','');
QuarantineFile('C:\Program Files\Torrent Search\OwGT7Xd.exe','');
QuarantineFile('C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe','');
QuarantineFile('C:\Users\Валентин\AppData\Local\25364\a1487.exe','');
DelBHO('{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}');
DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Users\Валентин\AppData\Local\storegid\storegid.exe','');
QuarantineFile('C:\Users\Валентин\AppData\Local\Yandex\browser.bat','');
QuarantineFile('C:\Program Files\Google\chrome.bat','');
DeleteService('storegidfilter');
QuarantineFile('C:\Windows\storegidfilter.sys','');
QuarantineFile('C:\Program Files\Torrent Search\IEEF\Interfaces32.dll','');
QuarantineFile('C:\Program Files\Torrent Search\IEEF\Gn2KEfcEjR.dll','');
DeleteFile('C:\Program Files\Torrent Search\IEEF\Gn2KEfcEjR.dll','32');
DeleteFile('C:\Program Files\Torrent Search\IEEF\Interfaces32.dll','32');
DeleteFile('C:\Windows\storegidfilter.sys','32');
DeleteFile('C:\Program Files\Google\chrome.bat','32');
DeleteFile('C:\Users\Валентин\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\Users\Валентин\AppData\Local\storegid\storegid.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','storegid');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','storegidUpdater');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Users\Валентин\AppData\Local\25364\a1487.exe','32');
DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','32');
DeleteFile('C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job','32');
DeleteFile('C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job','32');
DeleteFile('C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe','32');
DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search.job','32');
DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search2.job','32');
DeleteFile('C:\Program Files\Torrent Search\OwGT7Xd.exe','32');
DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','32');
DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore','32');
DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA','32');
DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsUpdate','32');
DeleteFile('C:\Program Files\BonanzaDeals\BonanzaDealsUpdate.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Kinoroom Browser','32');
DeleteFile('C:\Program Files\Kinoroom Browser\kinoroom-browser.exe','32');
DeleteFile('C:\Windows\system32\Tasks\LaunchSignup','32');
DeleteFile('C:\Windows\system32\Tasks\Update Service for Torrent Search','32');
DeleteFile('C:\Windows\system32\Tasks\Update Service for Torrent Search2','32');
DeleteFile('C:\Windows\system32\hfpapi.dll','32');
DeleteFile('C:\Windows\system32\Drivers\nethfdrv.sys','32');
DeleteFile('C:\Users\Валентин\appdata\roaming\aspackage\aspackage.exe','32');
DeleteFile('C:\Program Files\torrent search\basement\extensionupdaterservice.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

 

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[Yad]

Ответ:

 

KLAN-2966643746

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.    

a1487.exe - not-a-virus:AdWare.Win32.Amonetize.ecy
chrome.bat,
iexplore.bat - not-a-virus:AdWare.BAT.Clicker.af

Это файлы от рекламной системы. Детектирование файлов будет добавлено в    следующее обновление расширенного набора баз. Подробная информация о    расширенных базах: http://www.kaspersky.ru/extraavupdates

aspackage.exe,
hfpapi.dll
browser.bat
nethfdrv.sys

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

extensionupdaterservice.exe - not-a-virus:WebToolbar.Win32.Agent.bhv
Gn2KEfcEjR.dll,
Interfaces32.dll,
OwGT7Xd.exe - not-a-virus:WebToolbar.Win32.Agent.byo
storegidfilter.sys - not-a-virus:NetTool.Win32.NetFilter.b

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

 

 

ClearLNK-13.07.2015_14-13.log

[mike 1]

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

[Yad]

Присоединил...

AdwCleanerR1.txt

[thyrex]

Отметьте и удалите все записи, кроме тех, где упоминается Mail.Ru.

 

+ Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Yad]

Прикрепил

Addition.txt

FRST.txt

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
DefaultPrefix: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=1e242e52b89f12faa3a33445cce36313&text= <==== ATTENTION
FF Extension: TSearch - C:\Users\Валентин\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} [2015-05-17]
2015-07-08 20:39 - 2015-07-08 20:39 - 00000893 _____ C:\Users\Валентин\Desktop\README9.txt
2015-07-08 20:39 - 2015-07-08 20:39 - 00000893 _____ C:\Users\Валентин\Desktop\README8.txt
2015-07-08 20:39 - 2015-07-08 20:39 - 00000893 _____ C:\Users\Валентин\Desktop\README7.txt
2015-07-08 20:39 - 2015-07-08 20:39 - 00000893 _____ C:\Users\Валентин\Desktop\README6.txt
2015-07-08 20:39 - 2015-07-08 20:39 - 00000893 _____ C:\Users\Валентин\Desktop\README5.txt
2015-07-08 20:39 - 2015-07-08 20:39 - 00000893 _____ C:\Users\Валентин\Desktop\README4.txt
2015-07-08 20:39 - 2015-07-08 20:39 - 00000893 _____ C:\Users\Валентин\Desktop\README3.txt
2015-07-08 20:39 - 2015-07-08 20:39 - 00000893 _____ C:\Users\Валентин\Desktop\README2.txt
2015-07-08 20:39 - 2015-07-08 20:39 - 00000893 _____ C:\Users\Валентин\Desktop\README10.txt
2015-07-08 18:51 - 2015-07-09 21:49 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-07-08 18:51 - 2015-07-09 21:49 - 00000000 __SHD C:\ProgramData\Windows
2015-07-13 13:55 - 2014-09-25 10:53 - 00000000 ____D C:\Users\Валентин\AppData\Local\25364
C:\Users\Валентин\AppData\Local\Temp\amigoBrowser.exe
C:\Users\Валентин\AppData\Local\Temp\amigoSearch2.exe
C:\Users\Валентин\AppData\Local\Temp\mail_amigo_1409744535081.exe
C:\Users\Валентин\AppData\Local\Temp\reshebnik_com_1429468209578.exe
CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.21.135\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.21.99\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.25.5\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.23.9\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{5A8FF410-F3CE-4844-B31B-F18D911239E8}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll No File
CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.21.145\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.21.123\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.21.153\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.24.15\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.22.3\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.21.165\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.26.9\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.21.115\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.25.11\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.22.5\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.21.111\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3034767105-4207379323-3505701113-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Валентин\AppData\Local\Google\Update\1.3.24.7\psuser.dll No File
Task: {65C7F3C6-8AFC-4CAC-ACD0-1737ED06D9AC} - \Kinoroom Browser No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:9C783D4D
AlternateDataStreams: C:\ProgramData\TEMP:D8999815
AlternateDataStreams: C:\Users\Валентин\Local Settings:wa
AlternateDataStreams: C:\Users\Валентин\AppData\Local:wa
AlternateDataStreams: C:\Users\Валентин\AppData\Local\Application Data:wa
AlternateDataStreams: C:\Users\Все пользователи\TEMP:9C783D4D
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815
FirewallRules: [{29679712-1BFF-479C-A5F5-921496A1BF18}] => (Allow) C:\Users\Валентин\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [{5BB52371-E7FE-4C3A-A303-A4EF7C8A654A}] => (Allow) C:\Users\Валентин\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [{6CC00867-CCA2-4B2C-90DB-33C3D0616F2D}] => (Allow) C:\Users\Валентин\AppData\Local\MediaGet2\\Onlinetv\engine\mg_engine.exe
FirewallRules: [{43FB59BE-A1F2-45CE-818E-EDC9C8062841}] => (Allow) C:\Users\Валентин\AppData\Local\MediaGet2\\Onlinetv\engine\mg_engine.exe
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.
  

[Yad]

прикрепил

Fixlog.txt

[thyrex]

С расшифровкой не поможем.

 

Как вариант, восстановить все из теневых копий