Зашифрованы данные компьютера

[offshore]

Запустив компьютер, первый взгляд пал на фоновый рисунок рабочего стола (красные буквы на черном фоне), где было сказано, мол: "Ваши данные зашифрованы и ля-ля-ля". Также обнаружил множество текстовых документов README.txt с текстом:
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
45E065110DC1D74C9815|256|2|15
на электронный адрес [email protected] или [email protected] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
45E065110DC1D74C9815|256|2|15
to e-mail address [email protected] or [email protected] .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

Зашифрованы все фото, видео и иные важные файлы на всех трех локальных дисках. Их новое расширение (.xtbl). Прикрепляю логи с HijackThis и AVZ.

[Info_bot]

Уважаемый(ая) offshore, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}');
 DelBHO('{09900DE8-1DCA-443F-9243-26FF581438AF}');
 DelBHO('{11111111-1111-1111-1111-110511731104}');
 DelBHO('{1FAFD711-ABF9-4F6A-8130-5166C7371427}');
 DelBHO('{84FF7BD6-B47F-46F8-9130-01B2696B36CB}');
 StopService('BAPIDRV');
 StopService('moqitiqy');
 StopService('zejimumi');
 QuarantineFile('C:\Documents and Settings\Компьютер\Application Data\Allmyapps\Allmyapps.exe','');
 QuarantineFile('C:\Documents and Settings\Компьютер\Application Data\Allmyapps\AllmyappsUpdater.exe','');
 QuarantineFile('C:\Documents and Settings\Компьютер\Application Data\FFFFFFFF-1426422666-FFFF-FFFF-FFFFFFFFFFFF\nslF4.tmpfs','');
 QuarantineFile('C:\Documents and Settings\Компьютер\Application Data\Microsoft\Internet Explorer\Quick Launch\Свернуть все окна.scf','');
 QuarantineFile('C:\Documents and Settings\Компьютер\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe','');
 QuarantineFile('C:\Documents and Settings\Компьютер\Local Settings\Application Data\FFFFFFFF-1426437407-FFFF-FFFF-FFFFFFFFFFFF\snsi169.tmp','');
 QuarantineFile('C:\Documents and Settings\Компьютер\Local Settings\Application Data\Kometa\kometaup.exe','');
 QuarantineFile('C:\Documents and Settings\Компьютер\Local Settings\Application Data\MediaGet2\mediaget.exe','');
 QuarantineFile('C:\DOCUME~1\911C~1\LOCALS~1\Temp\30329937FdOh','');
 QuarantineFile('C:\DOCUME~1\911C~1\LOCALS~1\Temp\30388234FdOh','');
 QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','');
 QuarantineFile('C:\windows\system32\DRIVERS\BAPIDRV.sys','');
 QuarantineFile('D:\Music_Manager_2007\Rn5d3357.dll','');
 DeleteFile('C:\Documents and Settings\Компьютер\Application Data\FFFFFFFF-1426422666-FFFF-FFFF-FFFFFFFFFFFF\nslF4.tmpfs','32');
 DeleteFile('C:\Documents and Settings\Компьютер\Local Settings\Application Data\FFFFFFFF-1426437407-FFFF-FFFF-FFFFFFFFFFFF\snsi169.tmp','32');
 DeleteFile('C:\Documents and Settings\Компьютер\Local Settings\Application Data\Kometa\kometaup.exe','32');
 DeleteFile('C:\Documents and Settings\Компьютер\Local Settings\Application Data\MediaGet2\mediaget.exe','32');
 DeleteFile('C:\DOCUME~1\911C~1\LOCALS~1\Temp\30329937FdOh','32');
 DeleteFile('C:\DOCUME~1\911C~1\LOCALS~1\Temp\30388234FdOh','32');
 DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\windows\system32\DRIVERS\BAPIDRV.sys','32');
 DeleteFileMask('C:\Program Files\AnyProtectEx', '*', true, ' ');
 DeleteDirectory('C:\Program Files\AnyProtectEx');
 DeleteFileMask('C:\Documents and Settings\Компьютер\Local Settings\Application Data\Kometa', '*', true, ' ');
 DeleteDirectory('C:\Documents and Settings\Компьютер\Local Settings\Application Data\Kometa');
 DeleteFileMask('C:\Documents and Settings\Компьютер\Local Settings\Application Data\FFFFFFFF-1426437407-FFFF-FFFF-FFFFFFFFFFFF', '*', true, ' ');
 DeleteDirectory('C:\Documents and Settings\Компьютер\Local Settings\Application Data\FFFFFFFF-1426437407-FFFF-FFFF-FFFFFFFFFFFF');
 DeleteFileMask('C:\Documents and Settings\Компьютер\Local Settings\Application Data\MediaGet2', '*', true, ' ');
 DeleteDirectory('C:\Documents and Settings\Компьютер\Local Settings\Application Data\MediaGet2');
 DeleteFile('C:\windows\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\windows\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\windows\Tasks\APSnotifierPP3.job','32');
 DeleteService('BAPIDRV');
 DeleteService('moqitiqy');
 DeleteService('zejimumi');
 RegKeyStrParamWrite('HKCU', 'Control Panel\Desktop', 'WaitToKillAppTimeout', '20000');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\30330000','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\30388265','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Allmyapps Update','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Allmyapps','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaGet2','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
Код:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

- Подготовьте лог AdwCleaner и приложите его в теме.

- Сделайте лог Check Browsers' LNK и приложите его в теме.

[offshore]

Здравствуйте. Сделал.

[SQ]

[*]Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке


[*]Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.[*]Прикрепите этот отчет к своему следующему сообщению.[/list]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[offshore]

Cделано. Появилась проблема после перезагрузки: после попытки запуска программ ярлыки становятся прозрачными (скорее всего, какими-то бледными), при этом никакая программа не запускается, а также не передвигаются файлы на рабочем столе и выскакивает ошибка explorer.exe (даже после нажатия ПКМ по ярлыку).
Чтобы отправить логи, пришлось запускать Google Chrome через экзешник в корневой папке.

[SQ]

Уточните пожалуйста, более подробнее о проблеме, у Вас слетели ассоциации файлов *.lnk?
По возможности приложите скрин.

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[offshore]

Прикрепляю логи.
Касательно новой проблемы, не знаю, что могло сбиться. Вот что происходит, когда пытаюсь прожать ярлыки программ, а после нажатия на них ПКМ - ошибка explorer.exe. Запустить сами программы удается лишь основным экзешником из папки программ. А еще перестали перетаскиваться файлы курсором как по рабочему столу, так и в папках. Произошло после удаления всего в AdwCleaner`е.

Вложение 575750

[SQ]

Согласно системным логам у Вас логируется следующая ошибка.

Код:

Error: (07/10/2015 10:13:57 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Ошибка приложения explorer.exe, версия 6.0.2900.5512, модуль gbv3contextmenu.dll, версия 3.0.0.278, адрес 0x00004248.
Выполняется специальное событие для [explorer.exe!ws!]

Делали какие-то изменения в системе? Проблема связанно с программой Iobit, если она Вам нужна, то попробуйте переустановить ее, если нет то деинсталировать.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  URLSearchHook: [S-1-5-21-602162358-1123561945-682003330-1004] ATTENTION ==> Default URLSearchHook is missing.
  SearchScopes: HKU\S-1-5-21-602162358-1123561945-682003330-1004 -> {4187F0FC-AF41-4E4B-AE67-84C8FD35A0AE} URL = http://inca.im/search?q={searchTerms}
  SearchScopes: HKU\S-1-5-21-602162358-1123561945-682003330-1004 -> {460C3D19-B3D4-4964-A550-77D263B0CCCB} URL = http://inca.im/search?q={searchTerms}
  Toolbar: HKU\S-1-5-21-602162358-1123561945-682003330-1004 -> No Name - {01E04581-4EEE-11D0-BFE9-00AA005B4383} -  No File
  Toolbar: HKU\S-1-5-21-602162358-1123561945-682003330-1004 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
  Toolbar: HKU\S-1-5-21-602162358-1123561945-682003330-1004 -> No Name - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} -  No File
  Handler: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} -  No File
  FF Plugin HKU\S-1-5-21-602162358-1123561945-682003330-1004: @mail.ru/GameCenter -> C:\Documents and Settings\Компьютер\Local Settings\Application Data\Mail.Ru\GameCenter\NPDetector.dll No File
  FF Extension: No Name - C:\Documents and Settings\Компьютер\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [not found]
  FF Extension: No Name - C:\Documents and Settings\Компьютер\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [not found]
  FF Extension: No Name - C:\Documents and Settings\Компьютер\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [not found]
  FF Extension: No Name - C:\Documents and Settings\Компьютер\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [not found]
  CHR Extension: (No Name) - C:\Documents and Settings\Компьютер\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\aleggpabliehgbeagmfhnodcijcmbonb [2015-05-17]
  CHR Extension: (No Name) - C:\Documents and Settings\Компьютер\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\fddcgfefplodcggebdfbddbmfgmaeeeo [2015-06-17]
  CHR Extension: (No Name) - C:\Documents and Settings\Компьютер\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\hdipdmgfoponabkeiacehfflkboljlce [2015-06-04]
  CHR Extension: (No Name) - C:\Documents and Settings\Компьютер\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-08]
  CHR Extension: (No Name) - C:\Documents and Settings\Компьютер\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl [2013-07-22]
  CHR Extension: (No Name) - C:\Documents and Settings\Компьютер\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2013-09-23]
  CHR HKLM\...\Chrome\Extension: [jbfmkijbdfgfaiccakeaiinogojfkkcj] - C:\Documents and Settings\Компьютер\Local Settings\Application Data\Google\Chrome\Application\Plugins\extension_0_1_0_4.crx [Not Found]
  StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe http://www.mystartsearch.com/?type=sc&ts=1426424190&from=cmi&uid=WDCXWD5001AALS-00LWTA0_WD-WMAYP004153741537
  S2 zuwytyvu; C:\Documents and Settings\Компьютер\Local Settings\Application Data\FFFFFFFF-1426437387-FFFF-FFFF-FFFFFFFFFFFF\cnsp15F.tmp [X]
  2014-05-31 09:02 - 2014-05-31 09:02 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
  CustomCLSID: HKU\S-1-5-21-602162358-1123561945-682003330-1004_Classes\CLSID\{5A8FF410-F3CE-4844-B31B-F18D911239E8}\InprocServer32 -> C:\DOCUME~1\911C~1\LOCALS~1\APPLIC~1\Mail.Ru\GAMECE~1\NPDETE~1.DLL No File
  MSCONFIG\startupreg: MediaGet2 => 
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[offshore]

Предоставляю фикслог. Изменений в системе самостоятельно не делал. Только по Вашей инструкции.
О той проблеме. Удалил IOrbit и ошибка explorer.exe при нажатии ПКМ по ярлыкам исчезла, НО, ярлыки становятся прозрачными потому что они вырезаются. Я даю команду к запуску (ЛКМ), а они вырезаются с рабочего стола. Также, курсор так и не в состоянии перемещать файлы.

[SQ]

ярлыки становятся прозрачными потому что они вырезаются.

Попробуйте следующую настройка через пользовательский интерфейс:

• Панель управления - Система - Дополнительно - Параметры быстродействия - вкладка Визуальные эфекты - отметьте параметр "Отбрасывание теней значками на рабочем столе"
• Панель управления - Экран - вкладка Рабочий стол - кнопка Настройка рабочего стола - вкладка Веб - снять отметку с параметра "Закрепить элементы рабочего стола" и с выбранной веб-страницы.
  - Альтернативный вариант.: Рабочий стол - прав. щелчок мышью -> Упорядочить значки -> снять пытичку с "Закрепить веб-элементы на рабочем столе"

Приложите новые логи AVZ.

[offshore]

Настройки пользовательского интерфейса не сработали. "Отбрасывание теней значками на рабочем столе" галочка стояла, а "Закрепить элементы рабочего стола" была снята.
После сканирования AVZ и перезагрузки появилось меню папки слева на рабочем столе.
Вложение 575803

[SQ]

а "Закрепить элементы рабочего стола" была снята.
Вложение 575803

Верните обратно изменения настроек через пользовательский интерфейс. На сколько видно на скрине у Вас используется стороннее ПО оформления рабочего стола.

Появилась проблема после перезагрузки: после попытки запуска программ ярлыки становятся прозрачными (скорее всего, какими-то бледными), при этом никакая программа не запускается, а также не передвигаются файлы на рабочем столе и выскакивает ошибка explorer.exe (даже после нажатия ПКМ по ярлыку).

Уточните пожалуйста, описанная Вами проблема появилась после применения утилиты ClearLNK?

[SQ]

Пришлите нерабочии ярлыки в карантине. Как вариант исправления попробуйте пересоздать их.

[offshore]

Верните обратно изменения настроек через пользовательский интерфейс. На сколько видно на скрине у Вас используется стороннее ПО оформления рабочего стола.

Вернуть стандартное оформление, я правильно понял? Сделано.

Уточните пожалуйста, описанная Вами проблема появилась после применения утилиты ClearLNK?

Нет. Проблема появилась после чистки в AdwCleaner.
Ошибка explorer.exe больше не проявляется (как Вы и сказали сделать - удалить IOrbit), но ярлык любой программы при попытке запуска левой кнопкой мыши вырезается с рабочего стола. Будто я дал ему команду "Вырезать", а не запуститься.
Пересоздание ничего не дало.

Пришлите нерабочии ярлыки в карантине. Как вариант исправления попробуйте пересоздать их.

Прислать нерабочие ярлыки архивом через строку "Прислать запрошенный карантин", правильно понимаю?

Попробовал поиграться с ярлыками. И у меня такое ощущение, будто администратор этого компьютера - вовсе не администратор.
Вложение 575981

[SQ]

Уточните пожалуйста, если войти в систему под другой учетной записью, проблема сохраняется?

[mike 1]

Попробовал поиграться с ярлыками. И у меня такое ощущение, будто администратор этого компьютера - вовсе не администратор.

Проверьте не стоит ли у ярлыка атрибут "Только чтение"

Прислать нерабочие ярлыки архивом через строку "Прислать запрошенный карантин", правильно понимаю?

Архив с ярлыками можно прикрепить к сообщению.

[offshore]

Уточните пожалуйста, если войти в систему под другой учетной записью, проблема сохраняется?

Если войти под другой учетной записью - нет меню "Задачи для папок" слева на рабочем столе. А так, все остальные проблемы (отсутствие возможности перемещения файлов курсором по рабочему столу и папкам, вырезание ярлыков двойным нажатием ЛКМ) остались.

- - - - -Добавлено - - - - -

Проверьте не стоит ли у ярлыка атрибут "Только чтение"

Нет, такой атрибут не стоит.
На примере оперы. ↓
Вложение 576314

Архив с ярлыками можно прикрепить к сообщению.

Часть ярлыков с рабочего стола прикрепляю.

UPD: Выбрал случайные программы и попытался их установить.
Вот результат.
Вложение 576318
Вложение 576319

[SQ]

UPD: Выбрал случайные программы и попытался их установить.
Вот результат.
Вложение 576318
Вложение 576319

Согласно Вашей ошибки. у Вас отсутствуют ассоциации *.lnk.

Скопируйте следующий текст в файл link.bat

Код:

md C:\reg_export
cd C:\reg_export
reg export HKCR\.lnk reg_lnk1.txt
reg export HKCR\lnkfile reg_lnk2.txt
reg export HKCR\CLSID\{00021401-0000-0000-C000-000000000046} reg_lnk3.txt
pause
exit

Для того чтобы экспортировать текущие настройки, для этого достаточно запустить link.bat. Далее заархивируйте каталог C:\reg_export в случае не предвиденных ситуации, чтобы можно было восстановить изначальные значения.

Во вложение файл linkfile_fix.zip, разархивируйте и запустить файл linkfile_fix.reg для того чтобы восстановить ассоциации файлов *.lnk

[offshore]

Согласно Вашей ошибки. у Вас отсутствуют ассоциации *.lnk.

Скопируйте следующий текст в файл link.bat

Код:

md C:\reg_export
cd C:\reg_export
reg export HKCR\.lnk reg_lnk1.txt
reg export HKCR\lnkfile reg_lnk2.txt
reg export HKCR\CLSID\{00021401-0000-0000-C000-000000000046} reg_lnk3.txt
pause
exit

Для того чтобы экспортировать текущие настройки, для этого достаточно запустить link.bat. Далее заархивируйте каталог C:\reg_export в случае не предвиденных ситуации, чтобы можно было восстановить изначальные значения.

Во вложение файл linkfile_fix.zip, разархивируйте и запустить файл linkfile_fix.reg для того чтобы восстановить ассоциации файлов *.lnk

Ярлыки теперь работают как часы, программы устанавливаются как обычно.
Есть какой-нибудь способ восстановить зашифрованные файлы или придется ждать появления дешифратора?
А вот еще проблема: файлы так и не перемещаются курсором и слева на рабочем столе открыто меню "Задачи для папок", которое мне никак убрать не удается.