Ваши файлы зашифрованы

[Вильдан]

Здравствуйте!

Очень нуждаюсь в вашей помощи:

13/11/15 открыл письмо в Crome, убедившись, что это похоже на спам, удалил. 

Только через несколько часов заглянул на рабочий стол, а там  -  черный экран и надпись: Внимание! Все важные файлы на всех дисках компьютера зашифрованы...

 

Все файла фото, видео, офисные приложения переименованы с расширением  xtbl

Во всех дисках имелись Readmy.txt

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
EC79B60EF43A018091ED|0
на электронный адрес files100005@gmail.com или files100006@gmail.com .
Далее вы получите все необходимые инструкции. 
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

Воспользовавшись форумом, проверил Kaspersky Virus Removal Tool 2015, 

обнаружены и удалены следующие 

 

Trojan.Win32.Fsysna.cklv

Файл: C:\ProgramData\Windows\csrss.exe

 

--------------------------------------------------------

Trojan.Win32.Yakes.nibh

Файл: C:\Users\алексей\AppData\Local\YrwcPack\1CC7CB1B.exe

 

--------------------------------------------------------

Trojan.VBS.Agent.ue

Файл: C:\Users\алексей\AppData\Roaming\DigitalSites\UpdateProc\bkup.dat

 

--------------------------------------------------------

not-a-virus:AdWare.Win32.Yotoon.szd

Файл: C:\Windows\System32\drivers\{edf2e803-e64b-4078-9a9f-33672590ad18}w.sys

 

--------------------------------------------------------

Trojan.Win32.Fsysna.cklv

Файл: C:\Users\алексей\Desktop\schet.nomer.10400545-13-11.scr

 

Убедительно прошу помочь

 

Прилагаю

1) файл зашифрованный (архивированный, так как система запретила загружать "как есть")

2) оригинальный

3) Файл логов

 

CollectionLog-2015.11.15-13.16.zip

зашифрованный.rar

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\алексей\AppData\Local\YrwcPack\MicromaxMapNt5.dll','');
 QuarantineFile('C:\Users\алексей\AppData\Local\Uwqtmedia\HaierInit32.dll','');
 QuarantineFile('C:\Program Files\Solution Real\bin\utilSolutionReal.exe','');
 QuarantineFile('C:\Program Files\Solution Real\updateSolutionReal.exe','');
 DeleteService('Util Solution Real');
 DeleteService('Update Solution Real');
 DeleteFile('C:\Program Files\Solution Real\updateSolutionReal.exe','32');
 DeleteFile('C:\Program Files\Solution Real\bin\utilSolutionReal.exe','32');
 DeleteFile('C:\Users\алексей\AppData\Local\Uwqtmedia\HaierInit32.dll','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3146232419-2919496964-441794741-1000\Software\Microsoft\Windows\CurrentVersion\Run','Uwqtmedia');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3146232419-2919496964-441794741-1000\Software\Microsoft\Windows\CurrentVersion\Run','Iphbsoft');
 DeleteFile('C:\Users\алексей\AppData\Local\YrwcPack\MicromaxMapNt5.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\DSite','32');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

• Прикрепите этот отчет к своему следующему сообщению.

 

 

 

Сделайте новые логи Автологгером. 

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

[Вильдан]

После выполнения пункта 

3. Прикрепите файл карантина и нажмите "Отправить"

вынужденная пауза - жду ответ. 

[thyrex]

Новые логи можно делать, не дожидаясь ответа из вирлаба

[Вильдан]

Я прошу прощения, за свою "не продвинутость", не могу выполнить пункт

• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке, 

где находится  Check_Browsers_LNK.log?

Получил ответ:

запрос на исследование вредоносного файла [KLAN-3351806605]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

MicromaxMapNt5.dll,
HaierInit32.dll,
utilSolutionReal.exe,
updateSolutionReal.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

Прошу подсказать, что мне дальше делать?

Прикрепляю отчет  AdwCleaner

AdwCleanerS1.txt

[thyrex]

 

 

где находится  Check_Browsers_LNK.log

В папке Autologger

[Вильдан]

 

где находится  Check_Browsers_LNK.log

В папке Autologger

 

Спасибо, прилагаю отчет о работе ClearLNK-<Дата>.log

ClearLNK-15.11.2015_17-28.log

[mike 1]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Вильдан]

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

 

Кажется, я перестарался: после "неудачного" удаления, повторил весь процесс два раза. В итоге прикрепляю три варианта отчета 

 

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

 

Кажется, я перестарался: после "неудачного" удаления, повторил весь процесс два раза. В итоге прикрепляю три варианта отчета 

 

Прошу прощения, отправил файлы "C" , нужно было "S". Прилагаю

AdwCleanerC1.txt

AdwCleanerC2.txt

AdwCleanerC3.txt

AdwCleanerS2.txt

AdwCleanerS3.txt

AdwCleanerS4.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Вильдан]

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

Готово, прилагаю Addition.txt и  FRST.txt

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
GroupPolicyUsers\S-1-5-21-3146232419-2919496964-441794741-1006\User: Restriction <======= ATTENTION
GroupPolicyUsers\S-1-5-21-3146232419-2919496964-441794741-1002\User: Restriction <======= ATTENTION
GroupPolicyUsers\S-1-5-21-3146232419-2919496964-441794741-1001\User: Restriction - Chrome <======= ATTENTION
URLSearchHook: HKLM - Radio W Toolbar - {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} -  No File
BHO: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: Radio W Toolbar -> {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} -> No File
BHO: No Name -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKLM - Radio W Toolbar - {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} -  No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR Extension: (Стартовая — Яндекс) - C:\Users\TEMP.VILDAN-ПК.004\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne [2015-11-15]
CHR Extension: (Стартовая — Яндекс) - C:\Users\TEMP.VILDAN-ПК.004\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdkihdhlegcdggknokfekoemkjjnjhgi [2015-11-15]
S1 {fd600559-a688-4110-b9b9-0f1a9beae8ae}w; system32\drivers\{fd600559-a688-4110-b9b9-0f1a9beae8ae}w.sys [X]
2015-11-15 18:37 - 2015-11-15 18:37 - 00001246 __RSH C:\Users\TEMP.VILDAN-ПК.004\ntuser.pol
2015-11-13 14:34 - 2015-11-15 12:29 - 00000000 ____D C:\Users\алексей\AppData\Local\YrwcPack
2015-11-13 14:34 - 2015-11-13 14:34 - 00000000 ____D C:\Users\алексей\AppData\Local\Uwqtmedia
2015-11-13 14:33 - 2015-11-13 14:33 - 05292054 _____ C:\Users\алексей\AppData\Roaming\BB7CF647BB7CF647.bmp
2015-11-13 10:10 - 2015-11-15 12:29 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-11-13 10:10 - 2015-11-15 12:29 - 00000000 __SHD C:\ProgramData\Windows
Task: {96B60E9A-F302-4315-AB65-FA46B5B645BB} - \Driver Detective -> No File <==== ATTENTION
Task: {EFF8B867-7A2A-450A-8EEB-072A52BE004C} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

[Вильдан]

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
GroupPolicyUsers\S-1-5-21-3146232419-2919496964-441794741-1006\User: Restriction <======= ATTENTION
GroupPolicyUsers\S-1-5-21-3146232419-2919496964-441794741-1002\User: Restriction <======= ATTENTION
GroupPolicyUsers\S-1-5-21-3146232419-2919496964-441794741-1001\User: Restriction - Chrome <======= ATTENTION
URLSearchHook: HKLM - Radio W Toolbar - {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} -  No File
BHO: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: Radio W Toolbar -> {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} -> No File
BHO: No Name -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKLM - Radio W Toolbar - {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} -  No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR Extension: (Стартовая — Яндекс) - C:\Users\TEMP.VILDAN-ПК.004\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne [2015-11-15]
CHR Extension: (Стартовая — Яндекс) - C:\Users\TEMP.VILDAN-ПК.004\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdkihdhlegcdggknokfekoemkjjnjhgi [2015-11-15]
S1 {fd600559-a688-4110-b9b9-0f1a9beae8ae}w; system32\drivers\{fd600559-a688-4110-b9b9-0f1a9beae8ae}w.sys [X]
2015-11-15 18:37 - 2015-11-15 18:37 - 00001246 __RSH C:\Users\TEMP.VILDAN-ПК.004\ntuser.pol
2015-11-13 14:34 - 2015-11-15 12:29 - 00000000 ____D C:\Users\алексей\AppData\Local\YrwcPack
2015-11-13 14:34 - 2015-11-13 14:34 - 00000000 ____D C:\Users\алексей\AppData\Local\Uwqtmedia
2015-11-13 14:33 - 2015-11-13 14:33 - 05292054 _____ C:\Users\алексей\AppData\Roaming\BB7CF647BB7CF647.bmp
2015-11-13 10:10 - 2015-11-15 12:29 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-11-13 10:10 - 2015-11-15 12:29 - 00000000 __SHD C:\ProgramData\Windows
Task: {96B60E9A-F302-4315-AB65-FA46B5B645BB} - \Driver Detective -> No File <==== ATTENTION
Task: {EFF8B867-7A2A-450A-8EEB-072A52BE004C} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

Доброе утро!

Мне пришлось повторить процедуру фиксинга: после первого раза сразу согласился с перезагрузкой, в результате fixlog удалился

Fixlog.txt

[mike 1]

С лечением помогли. 

 

По расшифровке:

 

Пишите запрос => http://forum.kaspersky.com/index.php?showtopic=337288

 

В п.5 нужно предоставить:

 

1. Файл Readme.txt

2. Архив с зашифрованными файлами. 

[Вильдан]

Огромное СПАСИБО!

Остается вопрос: зашифрованных фалов очень много, всего будет 100-150 Гб, возможно ли обратиться с таким запросом, реально ли вообще проделать эту работу?