-
Junior Member
- Вес репутации
- 38
Все ваши файлы были зашифрованы
Поймали такую штуку:
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
A4B2795DD3570E8C711C|0
на электронный адрес [email protected] или [email protected] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
A4B2795DD3570E8C711C|0
to e-mail address [email protected] or [email protected] .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
Поможете победить?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) dearom, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Лошадка\AppData\Local\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('C:\Users\0132~1\AppData\Local\Temp\dasD31B.tmp','');
QuarantineFile('C:\Windows\skinapp.sys','');
DeleteService('skinapp');
DeleteFile('C:\Windows\skinapp.sys','32');
DeleteFile('C:\Users\0132~1\AppData\Local\Temp\dasD31B.tmp','32');
DeleteFile('C:\Users\Лошадка\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SmartWeb','command');
DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением темы.
Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 38
После выполнения скрипта карантин не был создан. Карантин был создан когда выполнял первый раз скрипты для создания темы, прикрепить его?
Так же после выполнения скрипта не могу выполнить скрипт №3, AVZ вылетает с ошибкой:
Сигнатура проблемы:
Имя события проблемы: APPCRASH
Имя приложения: avz.exe
Версия приложения: 4.43.0.0
Штамп времени приложения: 2a425e19
Имя модуля с ошибкой: StackHash_1703
Версия модуля с ошибкой: 0.0.0.0
Штамп времени модуля с ошибкой: 00000000
Код исключения: c0000005
Смещение исключения: 29095009
Версия ОС: 6.0.6002.2.2.0.768.3
Код языка: 1033
Дополнительные сведения 1: 1703
Дополнительные сведения 2: 2264db07e74365624c50317d7b856ae9
Дополнительные сведения 3: 1344
Дополнительные сведения 4: 875fa2ef9d2bdca96466e8af55d1ae6e
Прочтите заявление о конфиденциальности:
http://go.microsoft.com/fwlink/?link...3&clcid=0x0419
Выполнил только скрипт №2. Его прлагаю
-
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 38
Добрый вечер!
Вот логи FRST
-
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
HKLM\...\Run: [gmsd_ru_005010010] => [X]
HKLM\...\Run: [gmsd_ru_005010006] => [X]
HKU\S-1-5-21-643546631-3426797046-39749091-1000\...\MountPoints2: {6e6cfbe6-8d4e-11dd-9fbc-001644d8de6f} - D:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isew32.exe
HKU\S-1-5-21-643546631-3426797046-39749091-1000\...\MountPoints2: {b9736b12-85fc-11dd-9d56-001644d8de6f} - RECYCLER\S-53-6-22-3434476501-1644491937-600003330-1213\DelSrv.exe
Startup: C:\Users\Лошадка\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartWeb.lnk [2015-06-19]
ShortcutTarget: SmartWeb.lnk -> C:\Users\Лошадка\AppData\Local\SmartWeb\SmartWebHelper.exe (No File)
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-643546631-3426797046-39749091-1000 -> Moikrug URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HitachiXHTS542512K9SA00_080518BB6200WBF41Z0GX&ts=1434706306&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-643546631-3426797046-39749091-1000 -> Yandex URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HitachiXHTS542512K9SA00_080518BB6200WBF41Z0GX&ts=1434706306&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-643546631-3426797046-39749091-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HitachiXHTS542512K9SA00_080518BB6200WBF41Z0GX&ts=1434706306&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-643546631-3426797046-39749091-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HitachiXHTS542512K9SA00_080518BB6200WBF41Z0GX&ts=1434706306&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-643546631-3426797046-39749091-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HitachiXHTS542512K9SA00_080518BB6200WBF41Z0GX&ts=1434706306&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-643546631-3426797046-39749091-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HitachiXHTS542512K9SA00_080518BB6200WBF41Z0GX&ts=1434706306&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-643546631-3426797046-39749091-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HitachiXHTS542512K9SA00_080518BB6200WBF41Z0GX&ts=1434706306&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-643546631-3426797046-39749091-1000 -> {3E0C9769-C75E-4D54-9BA8-ACE7DDE006DD6B4} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HitachiXHTS542512K9SA00_080518BB6200WBF41Z0GX&ts=1434706306&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-643546631-3426797046-39749091-1000 -> {8A0349E9-5932-C082-03A2-591DDE006DBACE7} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HitachiXHTS542512K9SA00_080518BB6200WBF41Z0GX&ts=1434706306&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-643546631-3426797046-39749091-1000 -> {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HitachiXHTS542512K9SA00_080518BB6200WBF41Z0GX&ts=1434706306&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-643546631-3426797046-39749091-1000 -> {BDB6DDE4-CE87-4C0A-B8A0-6D5078B90596} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HitachiXHTS542512K9SA00_080518BB6200WBF41Z0GX&ts=1434706306&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-643546631-3426797046-39749091-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HitachiXHTS542512K9SA00_080518BB6200WBF41Z0GX&ts=1434706306&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-643546631-3426797046-39749091-1000 -> {F4137D40-259A-4FB3-B780-F8C39B303C41} URL = http://yandex.ru/yandsearch?clid=2101082&text={searchTerms}
SearchScopes: HKU\S-1-5-21-643546631-3426797046-39749091-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HitachiXHTS542512K9SA00_080518BB6200WBF41Z0GX&ts=1434706306&type=default&q={searchTerms}
BHO: No Name -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> No File
BHO: No Name -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> No File
BHO: No Name -> {95289393-33EA-4F8D-B952-483415B9C955} -> No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - XTRANS - {DBBABB93-DDBC-48CA-B6BE-7F85E50D8FC7} - C:\Program Files\X-Translator PLATINUM\PRMTET\PrmtETru.dll No File
DefaultPrefix: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2212dd05b2c625f930e633362d64d1f6&text= <==== ATTENTION
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1434706249&z=022c7386f6c380845200238g3z6c8zdm0e1q8odz1b&from=face&uid=HitachiXHTS542512K9SA00_080518BB6200WBF41Z0GX
StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe http://www.istartsurf.com/?type=sc&ts=1434706249&z=022c7386f6c380845200238g3z6c8zdm0e1q8odz1b&from=face&uid=HitachiXHTS542512K9SA00_080518BB6200WBF41Z0GX
2015-06-23 16:44 - 2015-06-23 16:44 - 00613255 _____ (CMI Limited) C:\Users\Лошадка\AppData\Local\nss944B.tmp
2015-06-22 22:02 - 2015-06-22 22:02 - 00613255 _____ (CMI Limited) C:\Users\Лошадка\AppData\Local\nsi4686.tmp
2015-06-19 16:56 - 2015-06-19 16:56 - 00613255 _____ (CMI Limited) C:\Users\Лошадка\AppData\Local\nsh3376.tmp
2015-06-19 12:33 - 2015-06-19 12:33 - 00613255 _____ (CMI Limited) C:\Users\Лошадка\AppData\Local\nsi2A40.tmp
2015-06-19 12:31 - 2015-06-19 12:31 - 00000000 ____D C:\ProgramData\IHProtectUpDate
2015-06-19 12:30 - 2015-07-08 22:01 - 00000000 ____D C:\ProgramData\MailUpdate
2015-06-19 12:30 - 2015-06-28 21:17 - 00000000 ____D C:\Program Files\Infonaut_1.10.0.14
2015-06-19 12:30 - 2015-06-19 12:30 - 00000000 ____D C:\Users\Лошадка\AppData\Roaming\MailUpdate
2015-06-19 12:13 - 2015-06-29 18:43 - 00000000 ____D C:\Users\Лошадка\AppData\Roaming\Obnovi Soft
2015-06-19 12:13 - 2015-06-19 12:13 - 00000828 _____ C:\Users\Лошадка\Desktop\Обнови Софт.lnk
2015-06-19 12:13 - 2015-06-19 12:13 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт
2015-06-19 12:12 - 2015-06-19 12:12 - 00000000 ____D C:\Users\Лошадка\AppData\Roaming\MailProducts
2015-06-18 18:18 - 2015-06-18 18:18 - 00000000 ____D C:\Program Files\predm
2015-06-16 19:36 - 2015-06-16 19:36 - 00613255 _____ (CMI Limited) C:\Users\Лошадка\AppData\Local\nsvC976.tmp
2015-06-16 19:36 - 2015-06-16 19:36 - 00000000 __SHD C:\Users\Лошадка\AppData\Roaming\AnyProtectEx
2015-06-16 19:08 - 2015-06-28 16:20 - 00000000 ____D C:\Users\Лошадка\AppData\Local\SmartWeb
2015-06-16 19:07 - 2015-06-16 19:07 - 00000000 ____D C:\Users\Лошадка\AppData\Roaming\Microsoft\Windows\Start Menu\Панель запуска браузера Комета
2015-06-16 18:54 - 2011-03-26 09:57 - 00000732 _____ C:\Windows\system32\Drivers\etc\hp.bak
2015-06-16 18:53 - 2015-06-30 22:47 - 00000000 ____D C:\Users\Лошадка\AppData\Roaming\E039E90D-1434470036-DD11-A70E-001E3343DA9B
2015-06-16 18:53 - 2015-06-18 18:02 - 00000000 ____D C:\Users\Лошадка\AppData\Roaming\eTranslator
2015-06-16 18:15 - 2015-05-31 03:08 - 00758000 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
2015-06-16 18:14 - 2015-01-15 21:25 - 00338032 ____H (Mozilla Corporation) C:\firеfох.bаt.exe
2015-06-16 18:14 - 2013-07-29 17:58 - 00879456 ____H (Opera Software) C:\оpеrа.bаt.exe
C:\Users\Лошадка\AppData\Local\Temp\ObnoviSoft.exe
C:\Users\Лошадка\AppData\Local\Temp\236399D9-E203-4EA8-A5A2-76F7EFC757BB.exe
C:\Users\Лошадка\AppData\Local\Temp\2480.exe
C:\Users\Лошадка\AppData\Local\Temp\57ABCE63-4168-4DC5-9BDA-D5B780688497.exe
C:\Users\Лошадка\AppData\Local\Temp\68DC2AF4-F929-49FD-8123-5910E3E9ABE3.exe
C:\Users\Лошадка\AppData\Local\Temp\8933.exe
C:\Users\Лошадка\AppData\Local\Temp\C6BFFDF6-872E-4FAC-B3F6-DC1CE6DB8AA2.exe
Reboot:
- Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
+ Сделайте лог Check Browsers' LNK
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 38
Добрый вечер.
Вот сделанные логи
-
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
- Распакуйте архив с утилитой в отдельную папку.
- Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
- Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
- Прикрепите этот отчет к своему следующему сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 38
Сообщение от
thyrex
Скачайте
ClearLNK и сохраните архив с утилитой на Рабочем столе.
- Распакуйте архив с утилитой в отдельную папку.
- Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
- Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
- Прикрепите этот отчет к своему следующему сообщению.
Готово!
-
С расшифровкой не поможем
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 38
Сообщение от
thyrex
С расшифровкой не поможем
ок, но от поганца который это сотворил избавились насколько я понял?
-
Его не было даже в первых логах
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-