[cho.dambler@yandex.com]

[Alexey Petrenko]

All your files have been encrypted!

Your personal ID

46158903

All your files have been encrypted due to a security problem with your PC.

If you want to restore them, write us to the e-mail: cho.dambler@yandex.com

How to obtain Bitcoins

• The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
• https://localbitcoins.com/buy_bitcoins
• Also you can find other places to buy Bitcoins and beginners guide here:
• http://www.coindesk.com/information/how-can-i-buy-bitcoins/

Free decryption as guarantee

• Before paying you can send to us up to 1 files for free decryption.Please note that files must NOT contain valuable information and their total size must be less than 5Mb

Attention!

• Do not rename encrypted files.
• Do not try to decrypt your data using third party software, it may cause permanent data loss.
• Decryption of your files with the help of third parties may cause increased price(they add their fee to our) or you can become a victim of a scam. 

 

CollectionLog-2018.07.03-14.27.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('C:\ProgramData\WindowsNT\aspnet.exe');
 QuarantineFile('C:\ProgramData\WindowsNT\aspnet.exe','');
 DeleteFile('C:\ProgramData\WindowsNT\aspnet.exe','32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','systems');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','systems');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Alexey Petrenko]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('C:\ProgramData\WindowsNT\aspnet.exe');
 QuarantineFile('C:\ProgramData\WindowsNT\aspnet.exe','');
 DeleteFile('C:\ProgramData\WindowsNT\aspnet.exe','32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','systems');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','systems');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. Результат загрузки Ошибка загрузки. Данный файл уже был загружен

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Alexey Petrenko]

Выполнено

Addition.rar

[thyrex]

SpyHunter4 удалите через Установку программ.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Tcpip\..\Interfaces\{169C9032-FE24-4D9B-8485-0DDFCFC4C7BA}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
Tcpip\..\Interfaces\{DA04785F-0E9A-4FBC-B48D-2E244F5BE773}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
S2 SpyHunter 4 Service; C:\Program Files\SpyHunter\SH4Service.exe [685752 2018-03-30] (Enigma Software Group USA, LLC.)
R3 esgiguard; C:\Program Files\SpyHunter\esgiguard.sys [15920 2017-08-12] (Enigma Software Group USA, LLC.)
S3 EsgScanner; C:\Windows\SysWOW64\DRIVERS\EsgScanner.sys [22704 2017-08-12] ()
2018-07-03 22:46 - 2018-07-04 06:32 - 000000000 ____D C:\Program Files\SpyHunter
2018-07-03 22:46 - 2018-07-03 22:46 - 000000841 _____ C:\Users\Public\Desktop\SpyHunter4.lnk
2018-07-03 22:46 - 2018-07-03 22:46 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: перезагрузка компьютера нужно выполнить вручную после фикса.