Зашифрованные файлы (зеленые замки)

23 января, 2016

Здравствуйте! Я скачал из интернета файл, после чего мой компьютер заразился рекламой и все музыкальные, видео файлы, фотографии и документы на компьютере стали в виде зеленых замков. В каждой папке появился текстовый документ с предложением перевести деньги за расшифровку файлов. Естественно я не стал переводить деньги ибо мошенникам доверять нельзя. Я сделал откат win7 после чего скачал антивирус касперского и удалил все вирусы. Файлы также остались зашифрованными, но уже не в виде зеленых замков, а просто стали белыми значками. Расширение файлов ".f88bc7a7". Какое было расширение файлов до отката win7 я не помню. Далее я выполнил действия указанные по этой ссылке https://forum.kasperskyclub.ru/index.php?showtopic=48822(кроме последнего пункта).

Пожалуйста посоветуйте кто может помочь в расшифровке файлов? Там все мои фотографии с армии и студенческих лет.

---------------------------------------------------------------------------------------------

[KLAN-3649611791]

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

quarantine.zip

Этот файл повреждён.

---------------------------------------------------------------------------------------------

CollectionLog-2016.01.19-00.59.zip

ClearLNK-24.01.2016_02-36.log

AdwCleanerS1.txt

Изменено 23 января, 2016 пользователем nahlebnic

23 января, 2016

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

24 января, 2016

Готово

AdwCleanerC1.txt

24 января, 2016

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

24 января, 2016

готово

FRST.txt

Addition.txt

29 января, 2016

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:

CloseProcesses:

FF Extension: SmartBrowser™ - C:\Users\Тип\AppData\Roaming\Mozilla\Firefox\Profiles\hygkp129.default\Extensions\sbext@slext.dev [2016-01-12] [not signed]

CHR Extension: (SocialLife for Google Chrome™) - C:\Users\Тип\AppData\Local\Google\Chrome\User Data\Default\Extensions\djnfikhimijfcoaoblganhllmdjejggi [2016-01-24]

CHR Extension: (Дополнительные настройки ВКонтакте +) - C:\Users\Тип\AppData\Local\Google\Chrome\User Data\Default\Extensions\elkoljmllnfjhlolfidelaieihcbpbff [2015-06-07]

CHR Extension: (Kenzo VK) - C:\Users\Тип\AppData\Local\Google\Chrome\User Data\Default\Extensions\kkmoffkcnaagfmkigckpkdcodobjdfga [2016-01-15]

CHR Extension: (__MSG_name__) - C:\Users\Тип\AppData\Local\Google\Chrome\User Data\Default\Extensions\ngpmkhpkenkhmdfhjibmmlambnelpbbo [2016-01-15]

OPR Extension: (ВКонтакте.ру Downloader) - C:\Users\Тип\AppData\Roaming\Opera Software\Opera Stable\Extensions\fhicdenadipegbnnjbaojhjddgdmdhpd [2016-01-02]

OPR Extension: (Profit Saver) - C:\Users\Тип\AppData\Roaming\Opera Software\Opera Stable\Extensions\nfphfdfjeglpieokoecfbjnbjmgknbmg [2016-01-10]

2016-01-10 22:22 - 2016-01-10 22:23 - 00000000 ____D C:\Users\Все пользователи\AppthgildeMs

2016-01-10 22:22 - 2016-01-10 22:23 - 00000000 ____D C:\ProgramData\AppthgildeMs

2016-01-10 22:21 - 2016-01-11 12:58 - 00000000 ____D C:\Users\Все пользователи\AppthgildeM

2016-01-10 22:21 - 2016-01-11 12:58 - 00000000 ____D C:\ProgramData\AppthgildeM

2016-01-10 21:37 - 2016-01-11 12:58 - 00000000 ____D C:\Users\Все пользователи\xIVWNd

2016-01-10 21:37 - 2016-01-11 12:58 - 00000000 ____D C:\ProgramData\xIVWNd

2016-01-10 20:13 - 2016-01-11 12:58 - 00000000 ____D C:\Users\Тип\AppData\Roaming\tor

2016-01-10 20:11 - 2016-01-11 12:58 - 00000000 ____D C:\Users\Тип\AppData\Roaming\OdnUqnxVqtAcmfpq4n

2016-01-10 20:11 - 2016-01-10 20:11 - 00000000 ____D C:\Users\Тип\AppData\Local\kYrYHR.ctp

2016-01-10 20:09 - 2016-01-11 12:58 - 00000000 ____D C:\Users\Все пользователи\zNJbFgNPTzLc

2016-01-10 20:09 - 2016-01-11 12:58 - 00000000 ____D C:\ProgramData\zNJbFgNPTzLc

2016-01-10 19:57 - 2016-01-10 19:57 - 00000000 ____D C:\Users\Тип\AppData\Local\Image Ball

2016-01-10 19:53 - 2016-01-10 19:53 - 00000000 ____D C:\Users\Все пользователи\kingsoft

2016-01-10 19:53 - 2016-01-10 19:53 - 00000000 ____D C:\ProgramData\kingsoft

2016-01-10 19:52 - 2016-01-11 12:58 - 00000000 ____D C:\Program Files (x86)\ppt

2016-01-10 19:51 - 2016-01-11 12:58 - 00000000 ____D C:\Users\Все пользователи\vepAiXTXhemLU

2016-01-10 19:51 - 2016-01-11 12:58 - 00000000 ____D C:\Users\Все пользователи\tYWCPcDfzJCR

2016-01-10 19:51 - 2016-01-11 12:58 - 00000000 ____D C:\Users\Все пользователи\pDzhGbQjs

2016-01-10 19:51 - 2016-01-11 12:58 - 00000000 ____D C:\Users\Все пользователи\GdQtHJTmN

2016-01-10 19:51 - 2016-01-11 12:58 - 00000000 ____D C:\ProgramData\vepAiXTXhemLU

2016-01-10 19:51 - 2016-01-11 12:58 - 00000000 ____D C:\ProgramData\tYWCPcDfzJCR

2016-01-10 19:51 - 2016-01-11 12:58 - 00000000 ____D C:\ProgramData\pDzhGbQjs

2016-01-10 19:51 - 2016-01-11 12:58 - 00000000 ____D C:\ProgramData\GdQtHJTmN

2016-01-10 19:47 - 2016-01-10 19:47 - 00041472 _____ C:\Users\Тип\AppData\Local\Saodom.dat

2016-01-10 19:36 - 2016-01-10 23:54 - 00000000 ____D C:\Users\���

2016-01-10 19:36 - 2016-01-10 19:36 - 00000000 ____D C:\Users\���\AppData\Roaming\Mobogenie

2016-01-10 18:38 - 2016-01-10 20:21 - 00000000 ____D C:\Program Files (x86)\Genie Soft

2016-01-10 18:38 - 2016-01-10 19:43 - 00000000 ____D C:\Users\Тип\Documents\Genie Soft

2016-01-10 18:36 - 2016-01-11 00:21 - 00000000 ____D C:\Users\Тип\AppData\Roaming\WindowsUpdater

2016-01-10 18:36 - 2016-01-10 18:36 - 00000000 ____D C:\Users\Public\Documents\GenieSoft

2016-01-10 18:33 - 2016-01-12 00:06 - 00000000 ____D C:\Users\Тип\AppData\LocalLow\Unity

2016-01-10 18:33 - 2016-01-10 19:49 - 00000000 ____D C:\Users\Тип\AppData\Roaming\MailProducts

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

30 января, 2016

Готово

Fixlog.txt

30 января, 2016

Зашифрованный файл пришлите.

31 января, 2016

готово

IMG_1856.JPG.rar

31 января, 2016

Внимание! Данный дешифратор предназначен только для пользователя nahlebnic

Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется

Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов.

Дешифратор

Принцип работы с дешифратором:

1. Сохраните дешифратор в отдельную созданную папку.

2. Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора.

key.zip

1 февраля, 2016

Внимание! Данный дешифратор предназначен только для пользователя nahlebnic

Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется

Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов.

Дешифратор

Принцип работы с дешифратором:

1. Сохраните дешифратор в отдельную созданную папку.

2. Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора.

Дешифратор просит ввести какой то ключ. Я все сделал по инструкции.

1 февраля, 2016

Если бы все сделали по инструкции, то не стал бы просить ключ.

Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора.

1 февраля, 2016

Спасибо большое mike1 вся информация восстановлена. Очень рад что нашел этот форум и что мир не без хороших людей )))

Изменено 1 февраля, 2016 пользователем nahlebnic

2 февраля, 2016

Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе

Запустите DelFix

Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

, при необходимости укажите пароль администратора и нажмите

Да

В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

Нажмите на кнопку Run

Выполните скрипт в AVZ при наличии доступа в интернет:



var

LogPath : string;

ScriptPath : string;

begin

 LogPath := GetAVZDirectory + 'log\avz_log.txt';

 if FileExists(LogPath) Then DeleteFile(LogPath);

 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 

begin

    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 

else begin

       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');

       exit;

      end;

  end;

 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)

end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Советы и рекомендации после лечения компьютера

Зашифрованные файлы (зеленые замки)

Рекомендуемые сообщения

nahlebnic

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

nahlebnic

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

nahlebnic

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

nahlebnic

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

nahlebnic

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

nahlebnic

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

nahlebnic

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum