shpir361224 Опубликовано 11 января, 2016 Share Опубликовано 11 января, 2016 У мене ось така проблема , допоможіть будь ласка, всі файли ворд є, але не відкриваються, і в кожній папці ось такий блокнот : "Здравствуйте, все ваши файлы зашифрованы, свяжитесь с нами для их восстановления. Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл. -------------------------------------------------------------- Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты: 1) Загрузите 'Tor Browser for Windows', скачать можно тут https://www.torproject.org/download/download-easy.html.en 2) Установите и запустите 'Tor Browser' 3) Перейдите по ссылке 'http://2hscl4fwxetqdiml.onion/?id=f9cd4aee&HashID=2fc3ed8828f7741046b140eb31573582'в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser') 4) Следуйте инструкциям на сайте -------------------------------------------------------------- ID: f9cd4aee HashID: 2fc3ed8828f7741046b140eb31573582 -------------------------------------------------------------- 1) Внимание, 'переустановка/откат' windows не поможет восстановить файлы но может окончательно их повредить и тогда даже мы не сможем их восстановить. 2) Антивирусы nod32, drweb, kaspersky и т.д вам не помогут расшифровать файлы, даже если вы купите у них лицензию на 10 лет, они вам все равно не восстановят файлы. 3) Для шифрования файлов используется AES который был создан в 1998г, за 17 лет никто на планете земля не смог взломать алгоритм шифрования, даже АНБ. 4) Ключ других пользователей вам не подойдет, так как у каждого пользователя уникальный ключ, поэтому не ждите что кто-то оплатит и выложит ключ для расшифровки файлов. -------------------------------------------------------------- Коротко о шифрование 'AES256' на примере 'Winrar', каждый файл помешается в архив 'Winrar', на архив 'Winrar' ставится пароль из 256 символов: 1) Открыть архив можно только введя пароль 2) Удалив 'Winrar' файл остается в архиве и открыть его нельзя. 3) Даже если перенести архив на другой windows, он все еще будет требовать пароль для открытия. 4) Если вы 'переустановите/откатите' windows, архив 'Winrar' останется архивом и для его открытия все еще потребуется 'Winrar' и пароль из 256 символов. -------------------------------------------------------------- Вы можете ждать пока кто-то через лет 60 взломает алгоритм шифрования AES256 и через 60 лет восстановить файлы или же оплатить ключ и восстановить файлы за пару часов, выбор за вами! https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard" Как мне забрать этот вирус? Это очень важные файлы.Я попыталась открыть через ворд, значки изменились но все равно не открывает и на рабочем столе показывает зеленые колодки. (1 фото) помогите!!! CollectionLog-2016.01.11-16.03.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 11 января, 2016 Share Опубликовано 11 января, 2016 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Shpir\AppData\Local\Euhxsm\UTEYVYmtklW1.bat',''); QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe',''); SetServiceStart('contentdefenderdrv', 4); DeleteService('contentdefenderdrv'); QuarantineFile('C:\Windows\system32\drivers\contentdefenderdrv.sys',''); DeleteFile('C:\Windows\system32\drivers\contentdefenderdrv.sys','32'); DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks'); DeleteFile('C:\Users\Shpir\AppData\Local\Euhxsm\UTEYVYmtklW1.bat','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. 1. Распакуйте архив с утилитой в отдельную папку. 2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке 3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. 4. Прикрепите этот отчет к своему следующему сообщению. Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
shpir361224 Опубликовано 11 января, 2016 Автор Share Опубликовано 11 января, 2016 ClearLNK by Alex Dragokas ver. 2.9.0.2 Beta OS: x64 Windows 7 Ultimate, 6.1.7601, Service Pack: 1 Time: 11.01.2016 - 16:57 Language: OS: RU (0x419). Display: RU (0x419). Non-Unicode: RU (0x419) Elevated: Yes User: Shpir (group: Administrator) _____________________________ Начало лога ______________________________ ______________________________ Статистика ______________________________ Лечение запущено: 1 раз за сегодня. Всего обработано: 0 ____________________________ Конец отчета ____________________________CRC32: AEFC3E2C Re: c:\quarantine.zip [KLAN-3585457673] сегодня, 16:59 This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. UTEYVYmtklW1.bat,contentdefenderdrv.sysA set of unknown files has been received. They will be sent to the Virus Lab.Best Regards, Kaspersky Lab"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"--------------------------------------------------------------------------------Sent: 11.01.2016 14:54:30To: newvirus@kaspersky.comSubject: c:\quarantine.zip Сообщение от модератора Mark D. Pearlstone Почта пользователя удалена. Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 11 января, 2016 Share Опубликовано 11 января, 2016 Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи ? 3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.4. Прикрепите этот отчет к своему следующему сообщению. ? 1 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
shpir361224 Опубликовано 11 января, 2016 Автор Share Опубликовано 11 января, 2016 Извините пожалуйста . Что-то неправильно? CollectionLog-2016.01.11-17.09.zip ClearLNK-11.01.2016_16-57.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 11 января, 2016 Share Опубликовано 11 января, 2016 Вы при работе с ClearLNK лог Check_Browsers_LNK.log не сумели найти в папке Autologger? Переделывайте + Сделайте лог полного сканирования МВАМ 1 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
shpir361224 Опубликовано 12 января, 2016 Автор Share Опубликовано 12 января, 2016 Снова добрый день! Вот я все сделала , скажите есть шанс что восстановится все?? Спасибо. и скажите ничего не удалять так? ClearLNK-12.01.2016_13-03.log mbam.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 12 января, 2016 Share Опубликовано 12 января, 2016 C:\Users\Shpir\AppData\Roaming\bqo9Smvqgvt2Bdh.exe заархивируйте с паролем virus, выложите на Яндекс диск и пришлите ссылку мне в личные сообщения.Удалите в МВАМ все, кроме HackTool.Agent, C:\Program Files (x86)\Microsoft Office\activator.exe, , [dfe58bad4a4fe1553b47b9b839c8768a], PUP.Optional.APNToolBar, D:\SopCast 3.8.3.exe, , [ffc51721ecad3402156a2906ad5427d9], CrackTool.Agent.Steam, D:\Games\Pro Evolution Soccer 2016\steam_api.dll, , [4f7569cf6a2ff343289acc89d92817e9], RiskWare.FilePatcher, D:\Down\ABBYY FineReader 11.0.110.121 (122) Professional + Corporate\Лекарство\11.0.110.121 Professional Edition\11.0.110.121.PE.exe, , [4b796fc9cacfcb6b9fb0e68dab56fa06], RiskWare.FilePatcher, D:\Down\ABBYY FineReader 11.0.110.121 (122) Professional + Corporate\Лекарство\11.0.110.122 Corporate Edition\11.0.110.122.CE.exe, , [be06ae8a2f6a300653fcf77ccc3521df], PUP.Optional.OpenCandy, D:\Проги\DAEMON Tools Pro Advanced 5.3.0.0359\DAEMONToolsPro530-0359.exe, , [695b2117dcbda78f0615dbe71fe5bf41], 1 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
shpir361224 Опубликовано 12 января, 2016 Автор Share Опубликовано 12 января, 2016 Все сделала Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 12 января, 2016 Share Опубликовано 12 января, 2016 Файл получил, спасибо. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению. 1 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
shpir361224 Опубликовано 12 января, 2016 Автор Share Опубликовано 12 января, 2016 Вот. FRST.Addition.7z Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 12 января, 2016 Share Опубликовано 12 января, 2016 Все содержимое папки C:\Users\Shpir\AppData\Roaming\OdnUqnxVqtAcmfpq4n тоже пришлите 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKU\S-1-5-21-1064408813-2880097059-3657500544-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://vyitikho.ru/?utm_source=startpage03&utm_content=4e3eed14986fd16acb80b7435933d045&utm_term=267F1D3C0C3B4D7B6302C301D170C1EB FF Extension: Quick Searcher - C:\Users\Shpir\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [2016-01-10] [not signed] CHR Extension: (Quick Searcher) - C:\Users\Shpir\AppData\Local\Google\Chrome\User Data\Default\Extensions\dighmiipfpfdfbfmpodcmfdgkkcakbco [2016-01-10] OPR StartupUrls: "hxxp://vyitikho.ru/?utm_source=startpage03&utm_content=4e3eed14986fd16acb80b7435933d045&utm_term=267F1D3C0C3B4D7B6302C301D170C1EB" OPR Extension: (Quick Searcher) - C:\Users\Shpir\AppData\Roaming\Opera Software\Opera Stable\Extensions\dighmiipfpfdfbfmpodcmfdgkkcakbco [2016-01-10] OPR Extension: (UkrSkidki) - C:\Users\Shpir\AppData\Roaming\Opera Software\Opera Stable\Extensions\egockpaiglcgdolpgimhfkbpadlickfm [2015-11-19] S1 condef; system32\drivers\condef.sys [X] 2016-01-11 13:33 - 2016-01-11 14:01 - 00000000 ____D C:\Users\Shpir\AppData\Roaming\OdnUqnxVqtAcmfpq4n 2016-01-10 23:24 - 2016-01-10 23:24 - 00058368 _____ C:\Users\Shpir\AppData\Roaming\bqo9Smvqgvt2Bdh.exe 2016-01-10 23:23 - 2016-01-11 14:03 - 00000000 ____D C:\Users\Shpir\Documents\Mobogenie 2016-01-10 23:23 - 2016-01-11 14:01 - 00000000 ____D C:\Users\Shpir\AppData\Roaming\WindowsUpdater 2016-01-10 23:23 - 2016-01-11 14:01 - 00000000 ____D C:\Users\Shpir\AppData\Local\Hostinstaller 2016-01-10 23:23 - 2016-01-11 13:55 - 00000000 ____D C:\Program Files (x86)\Mobogenie3 2016-01-10 23:23 - 2016-01-10 23:24 - 00000000 ____D C:\Users\Shpir\AppData\Roaming\Mobogenie 2016-01-10 23:23 - 2016-01-10 23:23 - 00000000 ____D C:\Users\Shpir\mobogenieP2sp 2015-11-23 18:59 - 2015-11-23 18:59 - 00000000 ____D C:\Users\Все пользователи\zECycOPvWxSWy 2015-11-23 18:59 - 2015-11-23 18:59 - 00000000 ____D C:\Users\Все пользователи\rlBTPhZLeN 2015-11-23 18:59 - 2015-11-23 18:59 - 00000000 ____D C:\Users\Все пользователи\ReYILT 2015-11-23 18:59 - 2015-11-23 18:59 - 00000000 ____D C:\Users\Все пользователи\ahuIEsYtk 2015-11-23 18:59 - 2015-11-23 18:59 - 00000000 ____D C:\ProgramData\zECycOPvWxSWy 2015-11-23 18:59 - 2015-11-23 18:59 - 00000000 ____D C:\ProgramData\rlBTPhZLeN 2015-11-23 18:59 - 2015-11-23 18:59 - 00000000 ____D C:\ProgramData\ReYILT 2015-11-23 18:59 - 2015-11-23 18:59 - 00000000 ____D C:\ProgramData\ahuIEsYtk 2015-11-23 18:33 - 2015-11-24 22:42 - 00000000 ____D C:\Users\Shpir\AppData\Local\Kometa 2015-11-23 18:22 - 2015-11-23 18:22 - 00000000 ____D C:\Users\Shpir\AppData\Local\Вoйти в Интeрнет 2015-11-23 18:16 - 2015-11-23 18:16 - 00000000 ____D C:\Users\Shpir\AppData\Local\Поиcк в Интeрнете 2015-11-19 16:00 - 2015-11-19 16:00 - 00000000 ____D C:\Users\Все пользователи\ELuNdYKvimIR 2015-11-19 16:00 - 2015-11-19 16:00 - 00000000 ____D C:\ProgramData\ELuNdYKvimIR 2015-11-18 22:24 - 2015-11-22 20:57 - 00000000 ____D C:\Users\Shpir\AppData\Local\cache 2015-11-18 22:23 - 2016-01-12 13:03 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser 2015-11-18 22:23 - 2016-01-11 16:49 - 00000000 ____D C:\Users\Shpir\AppData\Local\Euhxsm 2015-11-18 22:23 - 2016-01-11 15:17 - 00000000 ____D C:\Users\Все пользователи\TimeTasks 2015-11-18 22:23 - 2016-01-11 15:17 - 00000000 ____D C:\Users\Все пользователи\IPKtWoqKvNSZjx 2015-11-18 22:23 - 2016-01-11 15:17 - 00000000 ____D C:\ProgramData\TimeTasks 2015-11-18 22:23 - 2016-01-11 15:17 - 00000000 ____D C:\ProgramData\IPKtWoqKvNSZjx 2015-11-18 22:23 - 2016-01-11 15:17 - 00000000 ____D C:\Program Files\Content Defender 2015-11-18 22:23 - 2016-01-11 14:35 - 00000000 ____D C:\Program Files (x86)\HP Defender 2015-11-18 22:23 - 2015-11-18 22:23 - 00000000 ____D C:\Users\Все пользователи\QGJfHWCluY 2015-11-18 22:23 - 2015-11-18 22:23 - 00000000 ____D C:\Users\Все пользователи\KlPNwRzSX 2015-11-18 22:23 - 2015-11-18 22:23 - 00000000 ____D C:\Users\Все пользователи\GBRmSAw 2015-11-18 22:23 - 2015-11-18 22:23 - 00000000 ____D C:\ProgramData\QGJfHWCluY 2015-11-18 22:23 - 2015-11-18 22:23 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Content Defender 2015-11-18 22:23 - 2015-11-18 22:23 - 00000000 ____D C:\ProgramData\KlPNwRzSX 2015-11-18 22:23 - 2015-11-18 22:23 - 00000000 ____D C:\ProgramData\GBRmSAw 2015-11-18 22:23 - 2015-11-12 21:13 - 00056112 _____ C:\Windows\system32\Drivers\contentdefenderdrv.sys 2016-01-10 23:24 - 2016-01-10 23:24 - 0058368 _____ () C:\Users\Shpir\AppData\Roaming\bqo9Smvqgvt2Bdh.exe Task: {0C242972-3E1E-4C76-A9D3-1CF9CF9FE519} - \Java Update Schedule -> No File <==== ATTENTION Task: {54BDBF6C-510E-4E11-AF5F-FAB4AE1B7E59} - \WindowsUpdater -> No File <==== ATTENTION Task: {6C2B2A67-0DB4-45E6-9DC3-02A7D25578A4} - \Soft installer -> No File <==== ATTENTION Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на комментарий Поделиться на другие сайты More sharing options...
shpir361224 Опубликовано 12 января, 2016 Автор Share Опубликовано 12 января, 2016 готово) Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 12 января, 2016 Share Опубликовано 12 января, 2016 Чистка мусора закончена. С расшифровкой на данный момент помочь не можем Ссылка на комментарий Поделиться на другие сайты More sharing options...
shpir361224 Опубликовано 12 января, 2016 Автор Share Опубликовано 12 января, 2016 А кто может любезный?????????????????? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти