Зашифровались все файлы на компьютере...

**feron** · 14.10.2015, 20:16

Здравствуйте!
Немогли бы Вы помочь с проблемой которая постигла компьютер, по неизвестным причинам компьютер на компьютере зашифровывались все файлы. Просьба помочь с расшифровкой файлов, если есть такая возможность. Логи прилагаются... Прикрепляю предположительно сам вирус(virus.rar), это файл который появился на флешке вместо всех файлов которые на ней находились...
Так же прикрепляю "ридми" файлы которые в изобилии разбросаны по всему жесткому диску..
Заранее спасибо..

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 14.10.2015, 20:17

Уважаемый(ая) feron, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 14.10.2015, 22:43

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('F:\windrv.exe','');
 QuarantineFile('F:\autorun.inf','');
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('E:\windrv.exe','');
 QuarantineFile('C:\Documents and Settings\Владелец\Application Data\Microsoft\Windows\IEUpdate\wscntfy.exe','');
 QuarantineFile('C:\Documents and Settings\Владелец\Application Data\Microsoft\Windows\IEUpdate\esentutl.exe','');
 QuarantineFile('C:\Documents and Settings\Владелец\Application Data\Microsoft\Windows\IEUpdate\actmovie.exe','');
 QuarantineFile('c:\documents and settings\Владелец\wuaucldt.exe','');
 QuarantineFile('C:\WINDOWS\winlogon_45.exe','');
 QuarantineFile('C:\Documents and Settings\Владелец\Application Data\Microsoft\tyhyhiwyn.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fresdg.exe','');
 QuarantineFile('C:\WINDOWS\M-5050750432626272464870\windrv.exe','');
 QuarantineFile('C:\WINDOWS\M-5050340395869302039403434737876\winsvc.exe','');
 QuarantineFile('C:\WINDOWS\M-505045835374846834537486967020\windrv.exe','');
 QuarantineFile('C:\windows\M-505039509030353677952470635045253050\winsvc.exe','');
 QuarantineFile('C:\Documents and Settings\Владелец\Application Data\rundll32.exe','');
 QuarantineFile('C:\windows\M-50504527908968746306450979006840850\winmgr.exe','');
 QuarantineFile('C:\windows\C-59485327593927938375876992920\windrv32.exe','');
 QuarantineFile('C:\WINDOWS\system32\UKbhokLVglKmPI.exe','');
 TerminateProcessByName('c:\docume~1\7b5c~1\locals~1\temp\mipxrdneax.exe');
 QuarantineFile('c:\docume~1\7b5c~1\locals~1\temp\mipxrdneax.exe','');
 TerminateProcessByName('c:\windows\m-505039509030353677952470635045253050\winsvc.exe');
 TerminateProcessByName('c:\windows\c-59485327593927938375876992920\windrv32.exe');
 TerminateProcessByName('c:\documents and settings\Владелец\application data\rundll32.exe');
 QuarantineFile('c:\documents and settings\Владелец\application data\rundll32.exe','');
 QuarantineFile('c:\windows\c-59485327593927938375876992920\windrv32.exe','');
 QuarantineFile('c:\windows\m-505039509030353677952470635045253050\winsvc.exe','');
 DeleteFile('c:\windows\m-505039509030353677952470635045253050\winsvc.exe','32');
 DeleteFile('c:\windows\c-59485327593927938375876992920\windrv32.exe','32');
 DeleteFile('c:\documents and settings\Владелец\application data\rundll32.exe','32');
 DeleteFile('c:\docume~1\7b5c~1\locals~1\temp\mipxrdneax.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Service');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Update');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Manager');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Security');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Service');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Service Host Process for Windows');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Manager');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Security');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NRYj__DJCBTOoBaXynvyEbkAgl');
 DeleteFile('C:\WINDOWS\system32\UKbhokLVglKmPI.exe','32');
 DeleteFile('C:\windows\C-59485327593927938375876992920\windrv32.exe','32');
 DeleteFile('C:\windows\M-50504527908968746306450979006840850\winmgr.exe','32');
 DeleteFile('C:\Documents and Settings\Владелец\Application Data\rundll32.exe','32');
 DeleteFile('C:\windows\M-505039509030353677952470635045253050\winsvc.exe','32');
 DeleteFile('C:\WINDOWS\M-505045835374846834537486967020\windrv.exe','32');
 DeleteFile('C:\WINDOWS\M-5050340395869302039403434737876\winsvc.exe','32');
 DeleteFile('C:\WINDOWS\M-5050750432626272464870\windrv.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\boutevid','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Fredg Application','command');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fresdg.exe','32');
 DeleteFile('C:\Documents and Settings\Владелец\Application Data\Microsoft\tyhyhiwyn.exe','32');
 DeleteFile('C:\WINDOWS\winlogon_45.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Security Essentials','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RDReminder','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wougoow','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wuaucldt','command');
 DeleteFile('c:\documents and settings\Владелец\wuaucldt.exe','32');
 DeleteFile('E:\windrv.exe','32');
 DeleteFile('E:\autorun.inf','32');
 DeleteFile('F:\autorun.inf','32');
 DeleteFile('F:\windrv.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

**feron** · 19.10.2015, 11:48

Карантин был выслан.
Новые логи так же прикладываю к сообщению...

**thyrex** · 19.10.2015, 23:13

Сделайте лог полного сканирования МВАМ

**feron** · 20.10.2015, 13:51

Лог полного сканирования МВАМ прикрепляю.

**thyrex** · 20.10.2015, 21:56

Удалите в МВАМ все, кроме

Код:

PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|AntiVirusDisableNotify, 1, Хорошо: (0), Плохо: (1),,[1d150a4f44473204527e052718ec08f8]
PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FirewallDisableNotify, 1, Хорошо: (0), Плохо: (1),,[5ad80d4cddae1323ad24c468010355ab]
PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify, 1, Хорошо: (0), Плохо: (1),,[b37fb9a0bad1f93d02d04ce0a36113ed]

**feron** · 21.10.2015, 09:40

Удалил все, кроме тех что Вы указали.
А есть ли надежда что зашифрованные файлы получится вернуть?..
Они так закриптованы что даже имена файлов узнать не получается, и выглядят следующим образом -
"LWAmXKV0gpnj-ccP6QvfXxgoUy-sCXziqa12ZiyqEvlWE9wZzgR2i2WkQOUbqdDu.B0A60243E60C 0E945B51.breaking_bad"....

**thyrex** · 21.10.2015, 18:40

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

**feron** · 22.10.2015, 11:24

Скачал "Farbar Recovery Scan Tool 32-Bit Version", она запустилась отметил все согласно инструкции указанной Вами, но на определенном этапе сканирования выскакивает ошибка -
FRST ERROR_crop.jpg
Файл FRST.txt создался, но как я понимаю он частичный, а файл Addition.txt в папке не оказалось.
Тот файл FRST.txt что создался, прикрепляю к сообщению.

**thyrex** · 24.10.2015, 18:48

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
2015-10-13 15:37 - 2015-10-13 15:37 - 03932214 _____ C:\Documents and Settings\Владелец\Application Data\C37C6831C37C6831.bmp
2015-10-13 15:37 - 2015-10-13 15:37 - 00000891 _____ C:\Documents and Settings\Владелец\Рабочий стол\README9.txt
2015-10-13 15:37 - 2015-10-13 15:37 - 00000891 _____ C:\Documents and Settings\Владелец\Рабочий стол\README8.txt
2015-10-13 15:37 - 2015-10-13 15:37 - 00000891 _____ C:\Documents and Settings\Владелец\Рабочий стол\README7.txt
2015-10-13 15:37 - 2015-10-13 15:37 - 00000891 _____ C:\Documents and Settings\Владелец\Рабочий стол\README6.txt
2015-10-13 15:37 - 2015-10-13 15:37 - 00000891 _____ C:\Documents and Settings\Владелец\Рабочий стол\README5.txt
2015-10-13 15:37 - 2015-10-13 15:37 - 00000891 _____ C:\Documents and Settings\Владелец\Рабочий стол\README4.txt
2015-10-13 15:37 - 2015-10-13 15:37 - 00000891 _____ C:\Documents and Settings\Владелец\Рабочий стол\README3.txt
2015-10-13 15:37 - 2015-10-13 15:37 - 00000891 _____ C:\Documents and Settings\Владелец\Рабочий стол\README2.txt
2015-10-13 15:37 - 2015-10-13 15:37 - 00000891 _____ C:\Documents and Settings\Владелец\Рабочий стол\README10.txt
2015-10-13 15:37 - 2015-10-13 15:37 - 00000891 _____ C:\Documents and Settings\Владелец\Рабочий стол\README1.txt
2015-10-13 15:37 - 2015-10-13 15:37 - 00000891 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2015-10-13 15:37 - 2015-10-13 15:37 - 00000891 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2015-10-13 15:37 - 2015-10-13 15:37 - 00000891 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2015-10-13 15:37 - 2015-10-13 15:37 - 00000891 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2015-10-13 15:37 - 2015-10-13 15:37 - 00000891 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2015-10-13 15:37 - 2015-10-13 15:37 - 00000891 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2015-10-13 15:37 - 2015-10-13 15:37 - 00000891 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2015-10-13 15:37 - 2015-10-13 15:37 - 00000891 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2015-10-13 15:37 - 2015-10-13 15:37 - 00000891 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2015-10-13 15:37 - 2015-10-13 15:37 - 00000891 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2015-10-13 15:30 - 2015-10-19 11:59 - 00000000 _RSHD C:\windows\C-59485327593927938375876992920
2015-10-13 15:30 - 2015-10-13 17:56 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2015-10-13 15:30 - 2015-10-13 15:30 - 00000891 _____ C:\README9.txt
2015-10-13 15:30 - 2015-10-13 15:30 - 00000891 _____ C:\README8.txt
2015-10-13 15:30 - 2015-10-13 15:30 - 00000891 _____ C:\README7.txt
2015-10-13 15:30 - 2015-10-13 15:30 - 00000891 _____ C:\README6.txt
2015-10-13 15:30 - 2015-10-13 15:30 - 00000891 _____ C:\README5.txt
2015-10-13 15:30 - 2015-10-13 15:30 - 00000891 _____ C:\README4.txt
2015-10-13 15:30 - 2015-10-13 15:30 - 00000891 _____ C:\README3.txt
2015-10-13 15:30 - 2015-10-13 15:30 - 00000891 _____ C:\README2.txt
2015-10-13 15:30 - 2015-10-13 15:30 - 00000891 _____ C:\README10.txt
2015-10-13 15:07 - 2015-10-13 15:07 - 00000000 ____D C:\Device
NETSVC: nhpgz -> no filepath.
NETSVC: okddyv -> no filepath.
NETSVC: wotvbuhs -> no filepath.
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

**feron** · 26.10.2015, 11:50

Сделано, данная процедура вроде бы прошла без проблем. Fixlog.txt прикладываю.

**thyrex** · 26.10.2015, 17:32

С расшифровкой не поможем

**feron** · 26.10.2015, 18:14

Сообщение от thyrex

С расшифровкой не поможем

Расшифровка в принципе невозможна, или есть шанс на дешифровку если обратиться в платный раздел - "Помогите+" ?
Есть просто серьезная необходимость в этих файлах...

**thyrex** · 26.10.2015, 18:49

В Помогите+ тоже не поможем

Вирлаб Лаборатории Касперского оказывает помощь своим лицензионным пользователям. Но не всегда возможно помочь с подбором ключа.

**CyberHelper** · 26.10.2015, 18:59

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 51
В ходе лечения вредоносные программы в карантинах не обнаружены

Зашифровались все файлы на компьютере... (заявка № 191291)

Опции темы