Ваши файлы были зашифрованы.Readme.txt

[Екатерина Хрусталева 0]

Здравствуйте!

Произошел сбой в электросети,после перезагрузки компьютера на рабочем столе появилась надпись на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt 

 

Ниже описаны то что было после открытия файла.

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

122225704403424C97BA|0

на электронный адрес files000001@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

122225704403424C97BA|0

to e-mail address files000001@gmail.com .

Then you will receive all necessary instructions.

 

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

 

При открытии файла рисунка(*.jpg) открывается Word c не понятными буквами.Св-ва файла jpg показывает тип файла - Файл "BREAKING_BAD"

 

Прошу вашей помощи в решении моей проблемы

CollectionLog-2016.01.28-10.30.zip

[Roman_Five 489]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 TerminateProcessByName('c:\documents and settings\Пользователь\local settings\application data\evftion\a1734c6e.exe');
 QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\Rar$EX00.313\GreenChristmasTree_01_0.exe','');
 QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\Adobe\Reader_sl.exe','');
 QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\E8ED93FD9FF94D8\RtkAudioService.exe','');
 QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\E8ED93FD9FF94D8\ALCMTR.EXE','');
 QuarantineFile('C:\Documents and Settings\Пользователь\Local Settings\Application Data\Evftion\xyzSE.dll','');
 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe','');
 QuarantineFile('c:\documents and settings\Пользователь\local settings\application data\evftion\a1734c6e.exe','');
 DeleteFile('C:\Documents and Settings\Пользователь\Local Settings\Application Data\Evftion\xyzSE.dll','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');
 DeleteFile('C:\Documents and Settings\Пользователь\Application Data\E8ED93FD9FF94D8\ALCMTR.EXE','32');
 DeleteFile('C:\Documents and Settings\Пользователь\Application Data\E8ED93FD9FF94D8\RtkAudioService.exe','32');
 DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\Adobe\Reader_sl.exe','32');
 DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\Rar$EX00.313\GreenChristmasTree_01_0.exe','32');
 DeleteFile('C:\Documents and Settings\Пользователь\Local Settings\Application Data\Evftion\A1734C6E.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ALCMTR.EXE');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RtkAudioService.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Green Christmas Tree');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Evftion');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\Documents and Settings\Пользователь\Local Settings\Application Data\Evftion\xyzSE.dll');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл  Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R3 - Default URLSearchHook is missing
O4 - HKCU\..\Run: [ALCMTR.EXE] C:\Documents and Settings\Пользователь\Application Data\E8ED93FD9FF94D8\ALCMTR.EXE
O4 - HKCU\..\Run: [Adobe System Incorporated] C:\DOCUME~1\86C2~1\LOCALS~1\Temp\Adobe\Reader_sl.exe
O4 - HKCU\..\Run: [Evftion] C:\Documents and Settings\Пользователь\Local Settings\Application Data\Evftion\A1734C6E.exe
O4 - HKCU\..\Run: [Green Christmas Tree] C:\DOCUME~1\86C2~1\LOCALS~1\Temp\Rar$EX00.313\GreenChristmasTree_01_0.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

 

Сделайте новые логи по правилам.

+ приложите логи FRST
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

[Екатерина Хрусталева 0]

хорошо,попробую сама.потом подскажу как получилось.

[Roman_Five 489]

 

 

попробую сама

?

Сделайте новые логи по правилам. + приложите логи FRST http://forum.kaspers...611?do=findComment&comment=647696

[Екатерина Хрусталева 0]

Здравствуйте!!!

что сделала в разделе

1) (AVZ, Меню "Файл - Выполнить скрипт"):

Компьютер перезагрузился

2)отправила файл  Quarantine.zip по форме

3)в HijackThis не нашла строки(Выделены курсивом с чертой внизу)

R3 - Default URLSearchHook is missing

O4 - HKCU\..\Run: [ALCMTR.EXE] C:\Documents and Settings\Пользователь\Application Data\E8ED93FD9FF94D8\ALCMTR.EXE
O4 - HKCU\..\Run: [Adobe System Incorporated] C:\DOCUME~1\86C2~1\LOCALS~1\Temp\Adobe\Reader_sl.exe
O4 - HKCU\..\Run: [Evftion] C:\Documents and Settings\Пользователь\Local Settings\Application Data\Evftion\A1734C6E.exe
O4 - HKCU\..\Run: [Green Christmas Tree] C:\DOCUME~1\86C2~1\LOCALS~1\Temp\Rar$EX00.313\GreenChristmasTree_01_0.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

 

4)Сделайте новые логи по правилам.(высылаю результат логи FRST)

Addition.txt

[Roman_Five 489]

лог FRST 1. где 2-й?

где логи автологгера?