Зашифрованные файлы

[Merab 0]

Знакомой пришло письмо со ссылко на какие-то документы. Она перешла по ссылке и все документы, фотографии, картинки, данные и так далее переименовались в следующее:

email-iizomer@aol.com.ver-CL 1.0.0.0.id* и много разных буковок и цифр. Есть ли способ дешифровать? или хотябы точно узнать что его на компьютере не осталось?

CollectionLog-2015.07.15-11.05.zip

[thyrex 1 418]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteFile('C:\Program Files\simpleinf.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pr','command');
DeleteFile('C:\WINDOWS\Tasks\SmartSaver+ 12-codedownloader.job','32');
DeleteFile('C:\WINDOWS\Tasks\SmartSaver+ 12-enabler.job','32');
DeleteFile('C:\WINDOWS\Tasks\SmartSaver+ 12-firefoxinstaller.job','32');
DeleteFile('C:\WINDOWS\Tasks\SmartSaver+ 12-updater.job','32');
DeleteFile('C:\WINDOWS\Tasks\SmartSaver+ 12-validator.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9);
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[Merab 0]

Новый лог

 

Ошибочка вышла, не тот лог отправил сейчас переделаю

CollectionLog-2015.07.15-12.23.zip

Изменено 15 июля, 2015 пользователем Merab

[thyrex 1 418]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Merab 0]

Вот новый лог после скрипта

вот логи из frst

CollectionLog-2015.07.15-14.45.zip

Addition.txt

FRST.txt

[thyrex 1 418]

Да, менее часа - и вся информация зашифрована.

 

Ссылка, по которой скачали шифратор, сохранилась?

 

Содержимое папки C:\Program Files\Сжатие больших архивов заархивируйте с паролем virus, выложите на rghost.ru и пришлите ссылку мне в личные сообщения

 

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=114&itype=a&ver=12692&tm=291&src=ds&p={searchTerms}
SearchScopes: HKU\S-1-5-21-329068152-706699826-682003330-500 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=PTV2&o=15851&src=crm&q={searchTerms}&locale=ru_RU&apn_ptnrs=H3&apn_dtid=YYYYYYYYRU&apn_uid=67B1AED8-9E7F-4081-9B35-52A7D18A0494&apn_sauid=D4917007-A4CC-499A-B9EF-54410E9DB0F0
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-329068152-706699826-682003330-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-329068152-706699826-682003330-500 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Toolbar: HKU\S-1-5-21-329068152-706699826-682003330-500 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2015-07-14 09:47 - 2015-07-14 10:41 - 00000079 _____ C:\Program Files\WFQQRXFAWV.DVZ
2015-07-14 09:47 - 2015-07-14 10:36 - 30222356 _____ C:\Program Files\log1.log
2015-07-14 09:46 - 2015-07-14 09:46 - 00000000 ____D C:\Program Files\Сжатие больших архивов
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.
  

[Merab 0]

К сожалению ссылку уже не найти

А папку по маршруту "C:\Program Files\Сжатие больших архивов" не смог найти.

Fixlog.txt

[thyrex 1 418]

 

 

А папку по маршруту "C:\Program Files\Сжатие больших архивов" не смог найти.

Если пытались сделать после фикса, то конечно не найдете

 

С расшифровкой не поможем