Зашифрованы все файлы на всех дисках

[Панин]

Добрый день. Не могу сказать по какой причине и что такого вирусного скачивал, но 10 дней назад как обычно включаю ноутбук и тут черный экран с надписью "все важные файлы на всех дисках были рашифрованы...". Думаю вам знакома эта проблема, скажите можно расшифровать ? хотя бы пару файлов. Спасибо.

CollectionLog-2015.08.02-17.16.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\Администратор\appdata\local\microsoft\internet explorer\extensions\apihelper.dll','');
QuarantineFile('C:\Users\Администратор\AppData\Local\30738\Updater.exe','');
QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','');
DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_2E97E79495C2EE918393804007FA94E4');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_DEA04ECE15B4BAE72B016927A30039F9');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_DEA04ECE15B4BAE72B016927A30039F9');
DeleteFile('C:\Program Files (x86)\WindeskWinsearch\Windesk','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windesk Winsearch','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DSF','command');
DeleteFile('C:\Users\Sayat\AppData\Local\DSF\winlogon_patcher.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
DeleteFile('C:\PROGRAM FILES (X86)\RISING\RAV\rsdelaylauncher.exe','32');
DeleteFile('C:\Windows\system32\Tasks\RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380}','64');
DeleteFile('C:\Users\Sayat\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
DeleteFile('C:\Users\Администратор\AppData\Local\30738\Updater.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{3290307A-FE04-4558-92AB-2905EF3C808E}','64');
DeleteFile('C:\Windows\system32\Tasks\{87E50958-4728-4D5E-BF17-6D22E4A12FB7}','64');
DeleteFile('C:\Users\Администратор\appdata\local\microsoft\internet explorer\extensions\apihelper.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

[Панин]

KLAN-3022450117]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

apihelper.dll

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

Отправил повторно логи

CollectionLog-2015.08.02-22.56.zip

[thyrex]

Сделайте лог полного сканирования МВАМ

[Панин]

.

1.txt

[thyrex]

Удалите в МВАМ все найденное

[Панин]

удалил

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Панин]

Программой пользуюсь не первый раз, отчет Addition.txt была создана 23 июля. А FRST.txt создана сегодня.

Addition.txt

FRST.txt

[thyrex]

В логах порядок.

 

С расшифровкой не поможем