Зашифрованные файлы картинок, docx, xlsx.

[DJON_MK]

Здравствуйте, проблема состоит в следующем.
Закончился касперский, в интернете поймал что-то похожее на вирус,
выглядела как окно программы с текстом (приблизительно): Ваши данные зашифрованы, что бы расшифровать оплатите 50$ на наш счет.
После этого установил касперского, проверил все, нашел прогу, она лежала в "C:\ProgramData\Error.exe", все удалил, а теперь при открытии файла картинки, пишет "... поскольку файл поврежден или слишком велик."
и так же на word и excel.

[Info_bot]

Уважаемый(ая) DJON_MK, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

http://support.kaspersky.ru/faq/?qid=208638517 пробуйте

[DJON_MK]

http://support.kaspersky.ru/faq/?qid=208638517 пробуйте

все уже перепробовал, в том числе и этот.

- - - Добавлено - - -

Пробовал: Антивирус Каспера 2013, Dr.Web CureIt! 7.0 и Trojan-Ransom.Win32.Rector и Утилита разблокирования файлов после Trojan.Locker.8

похоже, как программа зашифровала файлы, из doc файлов появились новые файлы, их имена начинаются на "~$имя файла.doc"

[thyrex]

нашел прогу, она лежала в "C:\ProgramData\Error.exe", все удалил

Восстановите из карантина антивируса, запакуйте с паролем virus, выложите на обменник и пришлите ссылку мне в личные сообщения

+ пришлите несколько зашифрованных документов (желательно Excel)

[DJON_MK]

Восстановите из карантина антивируса, запакуйте с паролем virus, выложите на обменник и пришлите ссылку мне в личные сообщения

+ пришлите несколько зашифрованных документов (желательно Excel)

проблема в том, что я удалил эту прогу, сразу, не помещая в корзину. Пока КАС проверял файлы, я ее нашел через автозапуск и удалил. И еще пока она висела открытая, нельзя было запускать программы, писал, что-то вроде "у вас нет доступа и все такое."
сейчас попробую найти и восстановить эту программу.

- - - Добавлено - - -

Кстати, извиняюсь за невнимательность, но на нервах сейчас из-за файлов.
Только, что просмотрел ваши форум и вот такая же тема: http://virusinfo.info/showthread.php?t=125911
и вспомнил, что стартовая страница в EI изменилась на speed2.ru

и вот http://virusinfo.info/showthread.php?t=125919

в 3-ем сообщении скрин этой программы.

- - - Добавлено - - -

Лог с HijackThis:

- - - Добавлено - - -

Возможно это файл, той самой программы-шифратора.

[DJON_MK]

добавил еще логов.

[thyrex]

Я просил еще и зашифрованные файлы прислать

[DJON_MK]

Я просил еще и зашифрованные файлы прислать

просто видимых с разным расширением файлов нет, есть такие.
и еще сегодня наковырял в C:\Users\DJON\AppData\Roaming\Microsoft два exe файла.

- - - Добавлено - - -

Получил ответ от Касперского:

Файлы в процессе обработки.

error.exe - Trojan-Ransom.Win32.Hanar.c

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

taskhost.exe - Backdoor.Win32.Buterat.drxt

Детектирование файла будет добавлено в следующее обновление.

[regist]

DJON_MK, уберите вложения из своего сообщения. Прикреплять вирусы запрещено !

Эти подозрительные файлы - вирусы заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

Получил ответ от Касперского:

номер KLAN сообщите пожалуйста.

[thyrex]

Оригинал хотя бы одного из зашифрованных файлов есть?

[DJON_MK]

Оригинал хотя бы одного из зашифрованных файлов есть?

так нет никаких других файлов с таким же именем, но что бы были с другими расширениями, сами оригиналы как бы "повреждены".

- - - Добавлено - - -

номер KLAN сообщите пожалуйста.

KLAN-456442055

[thyrex]

На других носителях оригиналов не осталось? Без них расшифровать не получится

[DJON_MK]

На других носителях оригиналов не осталось? Без них расшифровать не получится

если бы были оригиналы на других носителях, тогда не нужно было б эти расшифровывать.
вот прикладываю скрин как выглядят фото.
Этот вирус не шифрует их "видимо", он не создает новых файлов. Просто не совсем понимаю какие оригиналы нужны?!

[thyrex]

Шифровальщик не меняет расширение файла. Потому и нужен какой-либо зашифрованный файл и его незашифрованный оригинал

[DJON_MK]

Шифровальщик не меняет расширение файла. Потому и нужен какой-либо зашифрованный файл и его незашифрованный оригинал

может быть вот эти.

[thyrex]

Это все зашифрованные файлы

- - - Добавлено - - -

Попробую завтра (точнее сегодня к вечеру) что-либо придумать

[DJON_MK]

Это все зашифрованные файлы

- - - Добавлено - - -

Попробую завтра (точнее сегодня к вечеру) что-либо придумать

зашифрованных файлов полный компьютер)
а вот, что вы советовали тут: http://virusinfo.info/showthread.php?t=125943

1. Скачайте http://support.kaspersky.ru/faq/?qid=208638517
2. Скопируйте зашифрованные файлы в отдельную папку
3. Запустите так
Код:

RectorDecryptor.exe -hanarp "400a49d016029828902710ce400d9fc912c94acfc690f9357 d12ec48391c235

[thyrex]

а вот, что вы советовали тут

Код дешифровки у разных пользователей разный

Наберитесь терпения

[DJON_MK]

Код дешифровки у разных пользователей разный

Наберитесь терпения

сорри, сорри, я просто не сразу понял, что код у всех разный, теперь все понятно, жду.

- - - Добавлено - - -

Прикрепляю еще два файла фото, оригинал и зашифр.
http://www.fayloobmennik.net/2291047

Нашел два файла Word, битый и рабочий:
http://www.fayloobmennik.net/2291055
http://www.fayloobmennik.net/2291056