Зашифрованные файлы AES(256) [not-a-virus:WebToolbar.Win64.SearchSuite.c ]

[Рустам Курбанов]

Здравствуйте!!После скачивания программы в браузере при его запуске начала открываться левая вкладка. Начал искать решение проблемы,пока искал в течении 15-20 минут на рабочем столе появился ярлык "Онлайн-консультант". И началась зашифровка файлов (изображения, все виды документов, музыку) в тип AES256
Также в каждой папке с зашифрованным файлом находится txt с названием "Внимание!Откройте меня" и содержанием "Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.
Я установил Касперский, зашифровались только текстовые файлы и часть архивов!Вирус удалил, потом просканировал Cure IT, дополнительно!Все происходило на рабочем компьютере,к нему был подключен жесткий,под шифровку попали и файлы которые находились на нем!

Хотелось бы восстановить зашифрованные файлы . Прикрепляю ссылки на примеры зашифрованных файлов и логи проверки.
Ccылки на файлы:
http://rghost.ru/private/58438610/51943dcf76f1ef90c921d75ce99e9223
http://rghost.ru/58438666
http://rghost.ru/58438728

[Info_bot]

Уважаемый(ая) Рустам Курбанов, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\apcrtldr.dll','');
 QuarantineFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\apcrtldr.dll','');
 SetServiceStart('F06DEFF2-5B9C-490D-910F-35D3A9119622', 4);
 DeleteService('F06DEFF2-5B9C-490D-910F-35D3A9119622');
 QuarantineFile('C:\Program Files (x86)\Settings Manager\systemk\x64\systemkmgrc1.cfg','');
 DeleteFile('C:\Program Files (x86)\Settings Manager\systemk\x64\systemkmgrc1.cfg','32');
 DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\apcrtldr.dll','32');
 DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\apcrtldr.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x86');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Обновите базы AVZ

Сделайте новые логи

Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT

[Рустам Курбанов]

Вот все логи

[thyrex]

Поместите в карантин МВАМ всё, кроме

Код:

Hacktool.Agent, E:\???°N??µN????°?»N? ???? N??°?±??N??µ\Windows Loader v2.1.5 by Daz\Windows Loader.exe, , [12363bd71765de5873c18ad352af936d], 
PUP.Hacktool.Patcher, K:\Adobe Creative Cloud 2013\Plug-in\REFlex41ae\Lz0\revisionfx.plugins.patch-patch32.exe, , [78d07d95e29a989e7358679ef30d8e72], 
PUP.Riskware.Patcher, K:\Adobe Creative Cloud 2013\Plug-in\Twixtor 515b After Effects CC and Premiere CC\Twixtor 515b After Effects CC.rar, , [e761cb47a9d354e2217138e7ea173fc1], 
PUP.Hacktool.Patcher, L:\??N???????\???µN??µ??????N???????\PROMT Professional v9.0.443\PROMT 4U 9.0.0.397 Giant & PROMT VER-Dict 2.0\Patch PROMT 9.exe, , [1f2970a276062412c704d134877942be], 
Malware.Gen, L:\??N???????\??????N????°\Maxon Cinema 4D R15 HYBRID Win_Mac\crack\mc4dr15.exe, , [1830739f0d6f3ef803ca3038cb358878],

Сделайте лог ComboFix

[Рустам Курбанов]

Извините!!Я не могу найти карантин МВАМ,куда нужно прописать скрипт!Объясните пожалуйста подробнее!

[thyrex]

Запустите МВАМ повторно, дождитесь окончания и появится возможность выбрать указанное действие

[thyrex]

http://support.kaspersky.ru/viruses/disinfection/10556 пробуйте

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\settings manager\systemk\x64\systemkmgrc1.cfg - not-a-virus:WebToolbar.Win64.SearchSuite.c