Добрый день! У меня проблема все файлы ворд обозначены зеленой колодкой

[shpir361224]

У мене ось така проблема , допоможіть будь ласка, всі файли ворд є, але не відкриваються, і в кожній папці ось такий блокнот : 

"Здравствуйте, все ваши файлы зашифрованы, свяжитесь с нами для их восстановления.

Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.

 

--------------------------------------------------------------

 

Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты:

1) Загрузите 'Tor Browser for Windows', скачать можно тут https://www.torproject.org/download/download-easy.html.en

2) Установите и запустите 'Tor Browser'

3) Перейдите по ссылке 'http://2hscl4fwxetqdiml.onion/?id=f9cd4aee&HashID=2fc3ed8828f7741046b140eb31573582'в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser')

4) Следуйте инструкциям на сайте

 

--------------------------------------------------------------

 

ID: f9cd4aee

HashID: 2fc3ed8828f7741046b140eb31573582

 

--------------------------------------------------------------

 

1) Внимание, 'переустановка/откат' windows не поможет восстановить файлы но может окончательно их повредить и тогда даже мы не сможем их восстановить.

2) Антивирусы nod32, drweb, kaspersky и т.д вам не помогут расшифровать файлы, даже если вы купите у них лицензию на 10 лет, они вам все равно не восстановят файлы.

3) Для шифрования файлов используется AES который был создан в 1998г, за 17 лет никто на планете земля не смог взломать алгоритм шифрования, даже АНБ.

4) Ключ других пользователей вам не подойдет, так как у каждого пользователя уникальный ключ, поэтому не ждите что кто-то оплатит и выложит ключ для расшифровки файлов.

 

--------------------------------------------------------------

 

Коротко о шифрование 'AES256' на примере 'Winrar', каждый файл помешается в архив 'Winrar', на архив 'Winrar' ставится пароль из 256 символов: 

1) Открыть архив можно только введя пароль

2) Удалив 'Winrar' файл остается в архиве и открыть его нельзя.

3) Даже если перенести архив на другой windows, он все еще будет требовать пароль для открытия.

4) Если вы 'переустановите/откатите' windows, архив 'Winrar' останется архивом и для его открытия все еще потребуется 'Winrar' и пароль из 256 символов.

 

--------------------------------------------------------------

 

Вы можете ждать пока кто-то через лет 60 взломает алгоритм шифрования AES256 и через 60 лет восстановить файлы или же оплатить ключ и восстановить файлы за пару часов, выбор за вами!

https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard"

 

Как мне забрать этот вирус? Это очень важные файлы.Я попыталась открыть через ворд, значки изменились но все равно не открывает и на рабочем столе показывает зеленые колодки. (1 фото) помогите!!!

 

 

CollectionLog-2016.01.11-16.03.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Shpir\AppData\Local\Euhxsm\UTEYVYmtklW1.bat','');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe','');
 SetServiceStart('contentdefenderdrv', 4);
 DeleteService('contentdefenderdrv');
 QuarantineFile('C:\Windows\system32\drivers\contentdefenderdrv.sys','');
 DeleteFile('C:\Windows\system32\drivers\contentdefenderdrv.sys','32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 DeleteFile('C:\Users\Shpir\AppData\Local\Euhxsm\UTEYVYmtklW1.bat','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[shpir361224]

ClearLNK by Alex Dragokas                                 ver. 2.9.0.2 Beta

 

OS:       x64 Windows 7 Ultimate, 6.1.7601, Service Pack: 1

Time:     11.01.2016 - 16:57

Language: OS: RU (0x419). Display: RU (0x419). Non-Unicode: RU (0x419)

Elevated: Yes

User:     Shpir (group: Administrator)

 

_____________________________ Начало лога ______________________________

 

 

 

______________________________ Статистика ______________________________

Лечение запущено: 1 раз за сегодня.

 

Всего обработано: 0

 

____________________________ Конец отчета ____________________________CRC32: AEFC3E2C

 

 

Re: c:\quarantine.zip [KLAN-3585457673]

 

 

сегодня, 16:59

 

 

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

UTEYVYmtklW1.bat,
contentdefenderdrv.sys

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"


--------------------------------------------------------------------------------
Sent: 11.01.2016 14:54:30
To: newvirus@kaspersky.com
Subject: c:\quarantine.zip

 

Сообщение от модератора Mark D. Pearlstone

Почта пользователя удалена.

 

 

 

 

[mike 1]

 

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

?

 

 

 

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

?

[shpir361224]

Извините пожалуйста . 

Что-то неправильно? 

CollectionLog-2016.01.11-17.09.zip

ClearLNK-11.01.2016_16-57.log

[thyrex]

Вы при  работе с ClearLNK лог Check_Browsers_LNK.log не сумели найти в папке Autologger? Переделывайте 
 
+ Сделайте лог полного сканирования МВАМ

[shpir361224]

Снова добрый день! Вот я все сделала , скажите есть шанс что восстановится все??

Спасибо. 

и скажите ничего не удалять так? 

ClearLNK-12.01.2016_13-03.log

mbam.txt

[thyrex]

C:\Users\Shpir\AppData\Roaming\bqo9Smvqgvt2Bdh.exe заархивируйте с паролем virus, выложите на Яндекс диск и пришлите ссылку мне в личные сообщения.

Удалите в МВАМ все, кроме

HackTool.Agent, C:\Program Files (x86)\Microsoft Office\activator.exe, , [dfe58bad4a4fe1553b47b9b839c8768a],
PUP.Optional.APNToolBar, D:\SopCast 3.8.3.exe, , [ffc51721ecad3402156a2906ad5427d9],
CrackTool.Agent.Steam, D:\Games\Pro Evolution Soccer 2016\steam_api.dll, , [4f7569cf6a2ff343289acc89d92817e9],
RiskWare.FilePatcher, D:\Down\ABBYY FineReader 11.0.110.121 (122) Professional + Corporate\Лекарство\11.0.110.121 Professional Edition\11.0.110.121.PE.exe, , [4b796fc9cacfcb6b9fb0e68dab56fa06],
RiskWare.FilePatcher, D:\Down\ABBYY FineReader 11.0.110.121 (122) Professional + Corporate\Лекарство\11.0.110.122 Corporate Edition\11.0.110.122.CE.exe, , [be06ae8a2f6a300653fcf77ccc3521df],
PUP.Optional.OpenCandy, D:\Проги\DAEMON Tools Pro Advanced 5.3.0.0359\DAEMONToolsPro530-0359.exe, , [695b2117dcbda78f0615dbe71fe5bf41],

[shpir361224]

Все сделала  

[thyrex]

Файл получил, спасибо.

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[shpir361224]

Вот. 

FRST.Addition.7z

[thyrex]

Все содержимое папки C:\Users\Shpir\AppData\Roaming\OdnUqnxVqtAcmfpq4n тоже пришлите

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
HKU\S-1-5-21-1064408813-2880097059-3657500544-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://vyitikho.ru/?utm_source=startpage03&utm_content=4e3eed14986fd16acb80b7435933d045&utm_term=267F1D3C0C3B4D7B6302C301D170C1EB
FF Extension: Quick Searcher - C:\Users\Shpir\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [2016-01-10] [not signed]
CHR Extension: (Quick Searcher) - C:\Users\Shpir\AppData\Local\Google\Chrome\User Data\Default\Extensions\dighmiipfpfdfbfmpodcmfdgkkcakbco [2016-01-10]
OPR StartupUrls: "hxxp://vyitikho.ru/?utm_source=startpage03&utm_content=4e3eed14986fd16acb80b7435933d045&utm_term=267F1D3C0C3B4D7B6302C301D170C1EB"
OPR Extension: (Quick Searcher) - C:\Users\Shpir\AppData\Roaming\Opera Software\Opera Stable\Extensions\dighmiipfpfdfbfmpodcmfdgkkcakbco [2016-01-10]
OPR Extension: (UkrSkidki) - C:\Users\Shpir\AppData\Roaming\Opera Software\Opera Stable\Extensions\egockpaiglcgdolpgimhfkbpadlickfm [2015-11-19]
S1 condef; system32\drivers\condef.sys [X]
2016-01-11 13:33 - 2016-01-11 14:01 - 00000000 ____D C:\Users\Shpir\AppData\Roaming\OdnUqnxVqtAcmfpq4n
2016-01-10 23:24 - 2016-01-10 23:24 - 00058368 _____ C:\Users\Shpir\AppData\Roaming\bqo9Smvqgvt2Bdh.exe
2016-01-10 23:23 - 2016-01-11 14:03 - 00000000 ____D C:\Users\Shpir\Documents\Mobogenie
2016-01-10 23:23 - 2016-01-11 14:01 - 00000000 ____D C:\Users\Shpir\AppData\Roaming\WindowsUpdater
2016-01-10 23:23 - 2016-01-11 14:01 - 00000000 ____D C:\Users\Shpir\AppData\Local\Hostinstaller
2016-01-10 23:23 - 2016-01-11 13:55 - 00000000 ____D C:\Program Files (x86)\Mobogenie3
2016-01-10 23:23 - 2016-01-10 23:24 - 00000000 ____D C:\Users\Shpir\AppData\Roaming\Mobogenie
2016-01-10 23:23 - 2016-01-10 23:23 - 00000000 ____D C:\Users\Shpir\mobogenieP2sp
2015-11-23 18:59 - 2015-11-23 18:59 - 00000000 ____D C:\Users\Все пользователи\zECycOPvWxSWy
2015-11-23 18:59 - 2015-11-23 18:59 - 00000000 ____D C:\Users\Все пользователи\rlBTPhZLeN
2015-11-23 18:59 - 2015-11-23 18:59 - 00000000 ____D C:\Users\Все пользователи\ReYILT
2015-11-23 18:59 - 2015-11-23 18:59 - 00000000 ____D C:\Users\Все пользователи\ahuIEsYtk
2015-11-23 18:59 - 2015-11-23 18:59 - 00000000 ____D C:\ProgramData\zECycOPvWxSWy
2015-11-23 18:59 - 2015-11-23 18:59 - 00000000 ____D C:\ProgramData\rlBTPhZLeN
2015-11-23 18:59 - 2015-11-23 18:59 - 00000000 ____D C:\ProgramData\ReYILT
2015-11-23 18:59 - 2015-11-23 18:59 - 00000000 ____D C:\ProgramData\ahuIEsYtk
2015-11-23 18:33 - 2015-11-24 22:42 - 00000000 ____D C:\Users\Shpir\AppData\Local\Kometa
2015-11-23 18:22 - 2015-11-23 18:22 - 00000000 ____D C:\Users\Shpir\AppData\Local\Вoйти в Интeрнет
2015-11-23 18:16 - 2015-11-23 18:16 - 00000000 ____D C:\Users\Shpir\AppData\Local\Поиcк в Интeрнете
2015-11-19 16:00 - 2015-11-19 16:00 - 00000000 ____D C:\Users\Все пользователи\ELuNdYKvimIR
2015-11-19 16:00 - 2015-11-19 16:00 - 00000000 ____D C:\ProgramData\ELuNdYKvimIR
2015-11-18 22:24 - 2015-11-22 20:57 - 00000000 ____D C:\Users\Shpir\AppData\Local\cache
2015-11-18 22:23 - 2016-01-12 13:03 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser
2015-11-18 22:23 - 2016-01-11 16:49 - 00000000 ____D C:\Users\Shpir\AppData\Local\Euhxsm
2015-11-18 22:23 - 2016-01-11 15:17 - 00000000 ____D C:\Users\Все пользователи\TimeTasks
2015-11-18 22:23 - 2016-01-11 15:17 - 00000000 ____D C:\Users\Все пользователи\IPKtWoqKvNSZjx
2015-11-18 22:23 - 2016-01-11 15:17 - 00000000 ____D C:\ProgramData\TimeTasks
2015-11-18 22:23 - 2016-01-11 15:17 - 00000000 ____D C:\ProgramData\IPKtWoqKvNSZjx
2015-11-18 22:23 - 2016-01-11 15:17 - 00000000 ____D C:\Program Files\Content Defender
2015-11-18 22:23 - 2016-01-11 14:35 - 00000000 ____D C:\Program Files (x86)\HP Defender
2015-11-18 22:23 - 2015-11-18 22:23 - 00000000 ____D C:\Users\Все пользователи\QGJfHWCluY
2015-11-18 22:23 - 2015-11-18 22:23 - 00000000 ____D C:\Users\Все пользователи\KlPNwRzSX
2015-11-18 22:23 - 2015-11-18 22:23 - 00000000 ____D C:\Users\Все пользователи\GBRmSAw
2015-11-18 22:23 - 2015-11-18 22:23 - 00000000 ____D C:\ProgramData\QGJfHWCluY
2015-11-18 22:23 - 2015-11-18 22:23 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Content Defender
2015-11-18 22:23 - 2015-11-18 22:23 - 00000000 ____D C:\ProgramData\KlPNwRzSX
2015-11-18 22:23 - 2015-11-18 22:23 - 00000000 ____D C:\ProgramData\GBRmSAw
2015-11-18 22:23 - 2015-11-12 21:13 - 00056112 _____ C:\Windows\system32\Drivers\contentdefenderdrv.sys
2016-01-10 23:24 - 2016-01-10 23:24 - 0058368 _____ () C:\Users\Shpir\AppData\Roaming\bqo9Smvqgvt2Bdh.exe
Task: {0C242972-3E1E-4C76-A9D3-1CF9CF9FE519} - \Java Update Schedule -> No File <==== ATTENTION
Task: {54BDBF6C-510E-4E11-AF5F-FAB4AE1B7E59} - \WindowsUpdater -> No File <==== ATTENTION
Task: {6C2B2A67-0DB4-45E6-9DC3-02A7D25578A4} - \Soft installer -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[shpir361224]

готово)

Fixlog.txt

[thyrex]

Чистка мусора закончена.

 

С расшифровкой на данный момент помочь не можем

[shpir361224]

А кто может любезный??????????????????