OlegKonst Опубликовано 22 апреля, 2016 Опубликовано 22 апреля, 2016 (изменено) Ваши файлы были зашифрованы.Чтобы расшифровать их, Вам необходимо отправить код:3EEC0DEF1475BF365F83|0на электронный адрес 1986Frederick.MacAlister@gmail.com .Далее вы получите все необходимые инструкции.Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случаеих изменения расшифровка станет невозможной ни при каких условиях.Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),воспользуйтесь резервным адресом. Его можно узнать двумя способами:1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.enВ адресной строке Tor Browser-а введите адрес:http://cryptorzimsbfbkx.onion/и нажмите Enter. Загрузится страница с резервными email-адресами.2) В любом браузере перейдите по одному из адресов:http://cryptorzimsbfbkx.onion.to/http://cryptorzimsbfbkx.onion.cab/ CollectionLog-2016.04.22-23.30.zip Изменено 22 апреля, 2016 пользователем OlegKonst
mike 1 Опубликовано 23 апреля, 2016 Опубликовано 23 апреля, 2016 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0); QuarantineFile('C:\Users\1\AppData\Local\Ovics\gMobileText80.dll',''); TerminateProcessByName('c:\users\1\appdata\local\imksoft\a9360f26.exe'); QuarantineFile('c:\users\1\appdata\local\imksoft\a9360f26.exe',''); DeleteFile('c:\users\1\appdata\local\imksoft\a9360f26.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Imksoft'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ovics'); DeleteFile('C:\Users\1\AppData\Local\Ovics\gMobileText80.dll','32'); DeleteFile('C:\Program Files (x86)\VDownloader\VDownloader4.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','VDownloader'); DeleteFile('C:\PROGRA~3\2e4da732\3bf7a7c0.dll','32'); DeleteFile('C:\Windows\system32\Tasks\{51EEF914-4852-32BF-D4F9-CA01AE942E36}','64'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su. 1. В заголовке письма напишите "Карантин". 2. В письме напишите ссылку на Вашу тему. 3. Прикрепите файл карантина и нажмите "Отправить" Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:57471;https=127.0.0.1:57471 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <-loopback> Сделайте новые логи Автологгером.
OlegKonst Опубликовано 23 апреля, 2016 Автор Опубликовано 23 апреля, 2016 Прикрепляю новые файлы.. CollectionLog-2016.04.23-17.19.zip hijackthis.log
mike 1 Опубликовано 23 апреля, 2016 Опубликовано 23 апреля, 2016 Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
OlegKonst Опубликовано 23 апреля, 2016 Автор Опубликовано 23 апреля, 2016 Файл: AdwCleaner[s1].txt AdwCleanerS1.txt
mike 1 Опубликовано 23 апреля, 2016 Опубликовано 23 апреля, 2016 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
OlegKonst Опубликовано 24 апреля, 2016 Автор Опубликовано 24 апреля, 2016 AdwCleaner[C1] - файл с удалёнными программами. AdwCleanerC1.txt
mike 1 Опубликовано 24 апреля, 2016 Опубликовано 24 апреля, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
OlegKonst Опубликовано 24 апреля, 2016 Автор Опубликовано 24 апреля, 2016 (изменено) Прикрепляю отчеты: (FRST) и (Addition). В компьютере есть не важная информация (игры), которую легко потом восстановить. Могу её удалить, для уменьшения объёма сбора информации для вас, в дальнейшем. Что посоветуете? Прочёл сегодня на форуме похожую тему, просмотрел свои файлы, у меня тоже: better_call_saul. Из прочтённого понял, что перекодированные файлы не восстановить и желательно переустановить ОС. Подскажите пожалуйста, правильно ли я понял "приговор"? Может тогда не отнимать у вас время по этой теме? Сохранился загрузочный файл с Вирусом. Надо ли отправлять в лабораторию Касперского для исследований или удалить? FRST.txt Addition.txt Изменено 24 апреля, 2016 пользователем OlegKonst
mike 1 Опубликовано 24 апреля, 2016 Опубликовано 24 апреля, 2016 Из прочтённого понял, что перекодированные файлы не восстановить и желательно переустановить ОС. ОС вовсе не обязательно переставлять. Сохранился загрузочный файл с Вирусом. Надо ли отправлять в лабораторию Касперского для исследований или удалить? Скорее всего он уже давно в базах, да и даже если его нет в базах, то антивирус его поймает по поведению. ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKLM-x32\...\Run: [] => [X] ProxyServer: [S-1-5-21-3365824708-1737387411-1547056570-1000] => http=127.0.0.1:57471;https=127.0.0.1:57471 Tcpip\Parameters: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{3315E427-BFA4-49B1-B1D7-1491286964A5}: [DhcpNameServer] 82.163.143.171 S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X] 2016-04-21 17:47 - 2016-04-21 17:48 - 00000000 ____D C:\Users\1\AppData\Local\Ovics 2016-04-21 17:46 - 2016-04-23 15:04 - 00000000 ____D C:\Users\1\AppData\Local\Imksoft 2016-04-21 17:35 - 2016-04-21 17:35 - 03133494 _____ C:\Users\1\AppData\Roaming\8D418D448D418D44.bmp 2016-04-21 11:52 - 2016-04-21 21:22 - 00000000 __SHD C:\Users\Все пользователи\Windows 2016-04-21 11:52 - 2016-04-21 21:22 - 00000000 __SHD C:\ProgramData\Windows C:\Users\1\AppData\Local\Temp\A9360F26.exe C:\Users\1\AppData\Local\Temp\mushiness.dll Task: {C4C2BC71-F1B9-4D6D-9A0A-19D66EBD9070} - \{51EEF914-4852-32BF-D4F9-CA01AE942E36} -> No File <==== ATTENTION zip:C:\FRST\Quarantine Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
OlegKonst Опубликовано 24 апреля, 2016 Автор Опубликовано 24 апреля, 2016 Прикреплён файл: Fixlog Fixlog.txt
mike 1 Опубликовано 24 апреля, 2016 Опубликовано 24 апреля, 2016 Если есть лицензия на Антивирус Касперского, то тогда пишите запрос http://forum.kasperskyclub.ru/index.php?showtopic=48525 Для повышения уровня компьютерной грамотности ознакомьтесь с этим: 1. https://forum.kaspersky.com/index.php?showtopic=314866 2. http://forum.kasperskyclub.ru/index.php?app=blog&module=display§ion=blog&blogid=320&showentry=2083
OlegKonst Опубликовано 24 апреля, 2016 Автор Опубликовано 24 апреля, 2016 После всей проделанной работы, хочется узнать вашу рекомендацию. 1) Возможно ли, что вирус где то спрятался (зацепился за файл) и ждёт сигнала проявить себя вновь? 2) Могли ли быть файлы ОС повреждены при атаке и в дальнейшем это отразится на работе компьютера? 3) И главное! Как следствие предыдущих вопросов, надо ли переустановить ОС? Спасибо.
mike 1 Опубликовано 24 апреля, 2016 Опубликовано 24 апреля, 2016 1) Возможно ли, что вирус где то спрятался (зацепился за файл) и ждёт сигнала проявить себя вновь? Вирус удален. 2) Могли ли быть файлы ОС повреждены при атаке и в дальнейшем это отразится на работе компьютера? Если в папке C:\Windows найдете зашифрованные файлы, то да, может. 3) И главное! Как следствие предыдущих вопросов, надо ли переустановить ОС? Системой можно и дальше пользоваться. Новые файлы уже шифроваться не будут.
OlegKonst Опубликовано 24 апреля, 2016 Автор Опубликовано 24 апреля, 2016 Спасибо Mike1 за проделанную работу! Все очень быстро, просто, удобно и понятно! Успехов в работе! И не ешь мышек)
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти