lortok И у меня зашифрованы файлы AES256

[EIrina]

все ушло в карантин почему-то

[mike 1]

Пришлите несколько зашифрованных файлов в архиве.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[EIrina]

пожалуйста

111.rar

[thyrex]

Сообщение №18 прочтите и выполните

[EIrina]

все сделала

 

Thyrex и mike 1, у меня после загрузки программы Malwareby-Anti с периодичностью 2-5 минут появляется всплывающее окно - 

вредоносный вебсайт заблокирован.

Чаще всего показывает сайт 

С/users/home/AppData/Local/MediaGet2/Mediaget.exe

что с этим делать?

спасибо вам за помощь - и Вам и mike 1

Downloads.rar

Изменено 16 января, 2016 пользователем EIrina

[thyrex]

у меня после загрузки программы Malwareby-Anti с периодичностью 2-5 минут появляется всплывающее окно

МВАМ всегда неравнодушен к любой сетевой активности. Его уже можно удалить

 

MediaGet удалите через Установку программ

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-242782032-1257921025-3606411223-1000\...\Run: [AdobeBridge] => [X]
CHR Extension: (Переводчик для Chrome 2) - C:\Users\home\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlbjncdgjeocebhnmkbbbdekmmmcbfjd [2014-08-18]
CHR Extension: (iSmileg - сделаем интернет ярче!) - C:\Users\home\AppData\Local\Google\Chrome\User Data\Default\Extensions\oadboiipflhobonjjffjbfekfjcgkhco [2015-02-23]
OPR Extension: (Quick Searcher) - C:\Users\home\AppData\Roaming\Opera Software\Opera Stable\Extensions\dighmiipfpfdfbfmpodcmfdgkkcakbco [2016-01-10]
OPR Extension: (Переводчик для Chrome 2) - C:\Users\home\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlbjncdgjeocebhnmkbbbdekmmmcbfjd [2014-08-18]
OPR Extension: (iSmileg - сделаем интернет ярче!) - C:\Users\home\AppData\Roaming\Opera Software\Opera Stable\Extensions\oadboiipflhobonjjffjbfekfjcgkhco [2015-02-23]
StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursearching.com/?type=sc&ts=1452446520&z=020904a0f980358f4fcab73g5zdweo8zez5q8weg3b&from=brd&uid=WDCXWD1003FBYX-01Y7B1_WD-WCAW3682219022190
2016-01-13 20:31 - 2016-01-13 20:31 - 00000000 ____D C:\Users\Все пользователи\JeSlsOSWkOML
2016-01-13 20:31 - 2016-01-13 20:31 - 00000000 ____D C:\Users\Все пользователи\GKJuqkmGAjvNomN
2016-01-13 20:31 - 2016-01-13 20:31 - 00000000 ____D C:\Users\Все пользователи\CauhEHHnlzQ
2016-01-13 20:31 - 2016-01-13 20:31 - 00000000 ____D C:\ProgramData\JeSlsOSWkOML
2016-01-13 20:31 - 2016-01-13 20:31 - 00000000 ____D C:\ProgramData\GKJuqkmGAjvNomN
2016-01-13 20:31 - 2016-01-13 20:31 - 00000000 ____D C:\ProgramData\CauhEHHnlzQ
2016-01-12 00:31 - 2016-01-12 00:31 - 00000000 ____D C:\Users\Все пользователи\thttFqpFUp
2016-01-12 00:31 - 2016-01-12 00:31 - 00000000 ____D C:\Users\Все пользователи\fbhoRWuNepxI
2016-01-12 00:31 - 2016-01-12 00:31 - 00000000 ____D C:\Users\Все пользователи\cyJhGnrpap
2016-01-12 00:31 - 2016-01-12 00:31 - 00000000 ____D C:\ProgramData\thttFqpFUp
2016-01-12 00:31 - 2016-01-12 00:31 - 00000000 ____D C:\ProgramData\fbhoRWuNepxI
2016-01-12 00:31 - 2016-01-12 00:31 - 00000000 ____D C:\ProgramData\cyJhGnrpap
2016-01-11 22:23 - 2016-01-11 22:23 - 00002671 _____ C:\Users\Default\Desktop\Амиго.Музыка.lnk
2016-01-11 22:23 - 2016-01-11 22:23 - 00002671 _____ C:\Users\Default User\Desktop\Амиго.Музыка.lnk
2016-01-11 22:23 - 2016-01-11 22:23 - 00000000 ____D C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго
2016-01-11 22:23 - 2016-01-11 22:23 - 00000000 ____D C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго
2016-01-11 22:19 - 2016-01-15 23:39 - 00002280 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет.lnk
2016-01-11 22:19 - 2016-01-15 23:39 - 00002280 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет.lnk
2016-01-11 22:19 - 2016-01-15 23:39 - 00002233 _____ C:\Users\Default\Desktop\Интернет.lnk
2016-01-11 22:19 - 2016-01-15 23:39 - 00002233 _____ C:\Users\Default User\Desktop\Интернет.lnk
2016-01-11 22:19 - 2016-01-11 22:53 - 00000000 ____D C:\Users\Default\AppData\Local\gmsd_ru_005010204
2016-01-11 22:19 - 2016-01-11 22:53 - 00000000 ____D C:\Users\Default User\AppData\Local\gmsd_ru_005010204
2016-01-11 22:19 - 2016-01-11 22:19 - 00002296 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk
2016-01-11 22:19 - 2016-01-11 22:19 - 00002296 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk
2016-01-11 22:19 - 2016-01-11 22:19 - 00002296 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk
2016-01-11 22:19 - 2016-01-11 22:19 - 00002296 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk
2016-01-11 22:19 - 2016-01-11 22:19 - 00002271 _____ C:\Users\Default\Desktop\Одноклассники.lnk
2016-01-11 22:19 - 2016-01-11 22:19 - 00002271 _____ C:\Users\Default\Desktop\Вконтакте.lnk
2016-01-11 22:19 - 2016-01-11 22:19 - 00002271 _____ C:\Users\Default User\Desktop\Одноклассники.lnk
2016-01-11 22:19 - 2016-01-11 22:19 - 00002271 _____ C:\Users\Default User\Desktop\Вконтакте.lnk
2016-01-11 22:19 - 2016-01-11 22:19 - 00000000 ____D C:\Users\Default\AppData\Local\Amigo
2016-01-11 22:19 - 2016-01-11 22:19 - 00000000 ____D C:\Users\Default User\AppData\Local\Amigo
2016-01-11 21:58 - 2016-01-15 22:38 - 00000000 ____D C:\Users\home\AppData\Roaming\ASPackage
2016-01-11 20:15 - 2016-01-11 21:44 - 00000000 ____D C:\Program Files (x86)\IconRunner
2016-01-11 19:54 - 2016-01-11 21:44 - 00000000 ____D C:\Users\Все пользователи\qqffyYMAGNfzIdl
2016-01-11 19:54 - 2016-01-11 21:44 - 00000000 ____D C:\ProgramData\qqffyYMAGNfzIdl
2016-01-11 19:53 - 2016-01-13 20:30 - 00000942 _____ C:\appverifier.txt
2016-01-11 19:53 - 2016-01-11 19:53 - 00000000 ____D C:\Users\Все пользователи\TnlASQmt
2016-01-11 19:53 - 2016-01-11 19:53 - 00000000 ____D C:\ProgramData\TnlASQmt
2016-01-10 20:29 - 2016-01-15 22:38 - 00000000 ____D C:\Users\home\AppData\Local\EucoDrZlIPxyIwk
2016-01-10 20:29 - 2016-01-10 20:29 - 00000000 ____D C:\Users\Все пользователи\WGTYHbYGugqscdI
2016-01-10 20:29 - 2016-01-10 20:29 - 00000000 ____D C:\Users\Все пользователи\IemsRq
2016-01-10 20:29 - 2016-01-10 20:29 - 00000000 ____D C:\Users\Все пользователи\BRaVGpvoW
2016-01-10 20:29 - 2016-01-10 20:29 - 00000000 ____D C:\ProgramData\WGTYHbYGugqscdI
2016-01-10 20:29 - 2016-01-10 20:29 - 00000000 ____D C:\ProgramData\IemsRq
2016-01-10 20:29 - 2016-01-10 20:29 - 00000000 ____D C:\ProgramData\BRaVGpvoW
2016-01-10 20:29 - 2016-01-10 20:29 - 00000000 ____D C:\Program Files (x86)\Oursoft
2016-01-10 19:16 - 2016-01-15 22:38 - 00000000 ____D C:\Users\home\AppData\Roaming\OdnUqnxVqtAcmfpq4n
2016-01-10 19:15 - 2016-01-10 19:15 - 00000000 ____D C:\Users\home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ZetaGames
2016-01-10 19:14 - 2016-01-15 22:38 - 00000000 ____D C:\Users\home\AppData\Local\ZetaGamesNews
2016-01-10 19:14 - 2016-01-15 22:38 - 00000000 ____D C:\Program Files (x86)\ZetaGames
2016-01-10 19:13 - 2016-01-16 00:41 - 00000000 ____D C:\Program Files (x86)\Mobogenie3
2016-01-10 19:13 - 2016-01-13 23:06 - 00000000 ____D C:\Users\home\AppData\Local\Hostinstaller
2016-01-10 19:13 - 2016-01-13 22:15 - 00000000 ____D C:\Users\home\AppData\Roaming\WindowsUpdater
C:\Users\home\AppData\Local\Temp\3DC2.tmp.exe
C:\Users\home\AppData\Local\Temp\3DC3.tmp.exe
C:\Users\home\AppData\Local\Temp\5331.tmp.exe
C:\Users\home\AppData\Local\Temp\917b0b87-3358-4e79-93de-3dfc2fc99ed0.exe
C:\Users\home\AppData\Local\Temp\978C.tmp.exe
C:\Users\home\AppData\Local\Temp\AD1A.tmp.exe
Task: {7DDEED95-565A-4BE5-A64A-8768B828AFE9} - \WindowsUpdater -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[EIrina]

у меня получается что тип файла - можно выбрать либо 

текстовые (*.txt)  либо просто все файлы без (*.*)

и кодировку какую оставить ANSI?

.

сделала и получилось это

Fixlog.txt

Изменено 16 января, 2016 пользователем EIrina

[mike 1]

Внимание! Данный дешифратор предназначен только для пользователя EIrina

 

Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется

 

Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов.

 

Дешифратор

 

 

Принцип работы с дешифратором:

 

1. Сохраните дешифратор в отдельную созданную папку. 

 

2. Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора.

key.zip

[EIrina]

mike 1! Дайте я Вас расцелую!!!  

Огромнейшее человеческое спасибо Вам и thyrex за помощь! 

Что мне теперь делать и как проверить, остался ли какой-нибудь вирус и как избежать повторения этого кошмара?

Причем антивирус у меня стоит, но что-то не словил ничего

[mike 1]

mike 1! Дайте я Вас расцелую!

Боюсь девушка, с которой я недавно познакомился будет против

[EIrina]

)Тогда от всей души желаю вам с вашей девушкой гармонии и всего самого наилучшего в будущем. 

У меня фотографии в основном были ребенка за все его 11 лет жизни. Расстройство было ужасным.

Но вера в хороших людей и хорошие люди - победили!

А я не совсем чайник оказывается )) Все получилось сделать, по Вашим и Thyrex инструкциям.

.

Как проверить, фигня в компе сохранилась ли?

Изменено 16 января, 2016 пользователем EIrina

[mike 1]

Вирус удален.

 

 

1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе

Запустите DelFix

Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

, при необходимости укажите пароль администратора и нажмите

Да

В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

Нажмите на кнопку Run

 

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

[EIrina]

вот отчет

SecurityCheck.txt

[mike 1]

Исправьте и обновите:

 

 

Контроль учётных записей пользователя отключен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Загружать автоматически обновления и устанавливать по заданному расписанию

Дата установки обновлений: 2016-01-13 21:10:03

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

---------------------------- [ Antivirus_WMI ] ----------------------------

McAfee VirusScan Enterprise (включен и обновлен)

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Windows Defender (выключен и обновлен)

McAfee VirusScan Enterprise Antispyware Module (включен и обновлен)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

McAfee Agent v.4.5.0.1810

McAfee VirusScan Enterprise v.8.8.00000

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.01 (64-bit) v.5.01.0 Внимание! Скачать обновления

Oracle VM VirtualBox 5.0.12 v.5.0.12

TeamViewer 9 v.9.0.41110 Внимание! Скачать обновления

^Необязательное обновление.^

VLC media player 2.1.2 v.2.1.2 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.1 v.7.1.105 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------------- [ P2P ] ---------------------------------

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 11 Plugin v.11.9.900.170 Внимание! Скачать обновления

Adobe Reader XI (11.0.13) - Russian v.11.0.13 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

------------------------------- [ Browser ] -------------------------------

Yandex v.15.9.2403.3043 Внимание! Скачать обновления

^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Google Chrome v.47.0.2526.111 [+]

Opera Stable 34.0.2036.25 v.34.0.2036.25 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

 

 

На этом все. Можно вас выписывать