Вирус зашифровал все файлы с документами

[Nevada]

Здравствуйте!

Искала программу для торрентов. Вроде все было легально и красиво.

Выскочил окно "какая то ошибка надо что то сделать. Игнорировала его. Но в очередной раз нажала ОК

Результат - не читается ни один созданный до этого файл.

По всему кому во всех без исключения папках письмо в трёх форматах.

 

 

Примерно такого содержания
 

OT YOUR LANGUAGE? USE https://translate.google.com

What's the matter with your files?

Your data was secured using a strong encryption with RSA4096.
Use the link down below to find additional information on the encryption keys using RSA-4096 https://en.wikipedia.org/wiki/RSA_(cryptosystem)

What exactly that means?

$,>/##&=."1;;,!:.:##9-"(/8,22 ------- $,>/##&=."1;;,!:.:##9-"(/8,22

It means that on a structural level your files have been transformed . You won't be able to use , read , see or work with them anymore .
In other words they are useless , however , there is a possibility to restore them with our help .

What exactly happened to your files ???

 

Тут проснулся мой антивирус и заявил, что у меня червь.

 

 

Не могу прикрепить файл зип с логами

 

С уважением, очень жду ответа

report2.log

[Mark D. Pearlstone]

Не могу прикрепить файл зип с логами

Убедитесь, что прикрепляете именно то, что вас просят. Если ошибка не пропадает, то выложите требуемый лог на файлообменник или в "облако".

[Nevada]

Спасибо за совет. Загрузили.

Подскажите пожалуйста мои дальнейшие действия.

CollectionLog-2016.04.10-14.24.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 DeleteFile('C:\Users\Admin\Documents\rfukvqgryodb.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','bssimghtddbc');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\-!RecOveR!-iaehu++.Htm','32');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\-!RecOveR!-iaehu++.Png','32');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\-!RecOveR!-iaehu++.Txt','32');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\-!RecOveR!-iaehu++.Htm','32');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\-!RecOveR!-iaehu++.Png','32');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\-!RecOveR!-iaehu++.Txt','32');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера.

 

Сделайте новые логи Автологгером. 

 

 

[Nevada]

Сделал!

Теперь¿

CollectionLog-2016.04.10-20.22.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Nevada]

Заражение было 08,04,2016  вечером часов в 22-23

Addition.txt

FRST.txt

[mike 1]

"Повезло" вам поймать TeslaCrypt 4.0 (http://www.bleepingcomputer.com/forums/t/605185/teslacrypt-3040-xxx-ttt-micro-mp3-support-topic/).

 

Логи в порядке. С расшифровкой не поможем. 

 

Изучайте:

 

1. https://forum.kaspersky.com/index.php?showtopic=314866

2. http://safezone.cc/threads/chto-takoe-rezervnoe-kopirovanie-behkap.27440/

[Nevada]

Я могу сейчас компом пользоваться

 

Или лучше сейчас все начисто отформатировать и все заново инсталировать

[mike 1]

Можете. Новые файлы уже шифроваться не будут.

[mike 1]

Пришлите зашифрованный файл