Зашифрованы файлы .blocked (keyvalue)

[Андрей_РТС]

Здравствуйте, собственно зашифрованы файлы. Нет возможности отключиться от интернета (по тимвьюверу сижу). Содержимое файла "!!!!!!!!Как восстановить файлы!!!!!!!" во всех дирректориях:
Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048.
Если хотите их вернуть отправьте один из зашифрованных файлов и файл keyvalue.bin на e-mail: [email protected]
Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер TOR
и с его помощью зайдите на сайт: http://ezulxxtwqos5g736.onion - там будет указан действующий почтовый ящик.
Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!

[Info_bot]

Уважаемый(ая) Андрей_РТС, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Сделайте лог Check Browsers' LNK

+ Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Андрей_РТС]

Сделал все как вы написали

[thyrex]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.


1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKLM\...\Run: [] => [X]
Startup: C:\Users\MENDOOSAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!!!!!!Как восстановить файлы!!!!!!!.txt [2016-09-02] ()
Startup: C:\Users\MENDOOSAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\keyvalue.bin [2016-09-02] ()
FF SearchPlugin: C:\Users\MENDOOSAN\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\!!!!!!!!Как восстановить файлы!!!!!!!.txt [2016-09-02]
FF SearchPlugin: C:\Users\MENDOOSAN\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\keyvalue.bin [2016-09-02]
CHR Plugin: (Shockwave Flash) - C:\Program Files\Google\Chrome\Application\21.0.1180.89\PepperFlash\pepflashplayer.dll => No File
CHR Plugin: (Shockwave Flash) - C:\Program Files\Google\Chrome\Application\52.0.2743.116\gcswf32.dll => No File
CHR Plugin: (Shockwave Flash) - C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_265.dll => No File
CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\52.0.2743.116\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\52.0.2743.116\pdf.dll => No File
CHR Plugin: (Google Update) - C:\Program Files\Google\Update\1.3.21.115\npGoogleUpdate3.dll => No File
2016-09-02 10:18 - 2016-09-02 10:18 - 00002790 _____ C:\Windows\Tasks\keyvalue.bin
2016-09-02 10:18 - 2016-09-02 10:18 - 00000788 _____ C:\Windows\Tasks\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:17 - 2016-09-02 10:17 - 00002790 _____ C:\Windows\system32\Drivers\keyvalue.bin
2016-09-02 10:17 - 2016-09-02 10:17 - 00002790 _____ C:\Windows\system32\Drivers\etc\keyvalue.bin
2016-09-02 10:17 - 2016-09-02 10:17 - 00002790 _____ C:\Windows\system32\config\keyvalue.bin
2016-09-02 10:17 - 2016-09-02 10:17 - 00000788 _____ C:\Windows\system32\Drivers\etc\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:17 - 2016-09-02 10:17 - 00000788 _____ C:\Windows\system32\Drivers\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:17 - 2016-09-02 10:17 - 00000788 _____ C:\Windows\system32\config\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:16 - 2016-09-02 10:16 - 00002790 _____ C:\Windows\system32\keyvalue.bin
2016-09-02 10:16 - 2016-09-02 10:16 - 00002790 _____ C:\Windows\system\keyvalue.bin
2016-09-02 10:16 - 2016-09-02 10:16 - 00002790 _____ C:\Windows\Minidump\keyvalue.bin
2016-09-02 10:16 - 2016-09-02 10:16 - 00000788 _____ C:\Windows\system32\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:16 - 2016-09-02 10:16 - 00000788 _____ C:\Windows\system\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:16 - 2016-09-02 10:16 - 00000788 _____ C:\Windows\Minidump\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:12 - 2016-09-02 10:12 - 00002790 _____ C:\Windows\keyvalue.bin
2016-09-02 10:12 - 2016-09-02 10:12 - 00000788 _____ C:\Windows\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:11 - 2016-09-02 10:11 - 00002790 _____ C:\Users\UpdatusUser\keyvalue.bin
2016-09-02 10:11 - 2016-09-02 10:11 - 00002790 _____ C:\Users\UpdatusUser\Downloads\keyvalue.bin
2016-09-02 10:11 - 2016-09-02 10:11 - 00002790 _____ C:\Users\UpdatusUser\Desktop\keyvalue.bin
2016-09-02 10:11 - 2016-09-02 10:11 - 00002790 _____ C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\keyvalue.bin
2016-09-02 10:11 - 2016-09-02 10:11 - 00002790 _____ C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Windows\Start Menu\keyvalue.bin
2016-09-02 10:11 - 2016-09-02 10:11 - 00002790 _____ C:\Users\UpdatusUser\AppData\Roaming\keyvalue.bin
2016-09-02 10:11 - 2016-09-02 10:11 - 00002790 _____ C:\Users\UpdatusUser\AppData\LocalLow\keyvalue.bin
2016-09-02 10:11 - 2016-09-02 10:11 - 00002790 _____ C:\Users\UpdatusUser\AppData\Local\keyvalue.bin
2016-09-02 10:11 - 2016-09-02 10:11 - 00002790 _____ C:\Users\UpdatusUser\AppData\keyvalue.bin
2016-09-02 10:11 - 2016-09-02 10:11 - 00002790 _____ C:\Users\Public\keyvalue.bin
2016-09-02 10:11 - 2016-09-02 10:11 - 00002790 _____ C:\Users\Public\Downloads\keyvalue.bin
2016-09-02 10:11 - 2016-09-02 10:11 - 00002790 _____ C:\Users\MENDOOSAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\keyvalue.bin
2016-09-02 10:11 - 2016-09-02 10:11 - 00002790 _____ C:\Users\MENDOOSAN\AppData\Roaming\Microsoft\Windows\Start Menu\keyvalue.bin
2016-09-02 10:11 - 2016-09-02 10:11 - 00000788 _____ C:\Users\UpdatusUser\Downloads\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:11 - 2016-09-02 10:11 - 00000788 _____ C:\Users\UpdatusUser\Desktop\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:11 - 2016-09-02 10:11 - 00000788 _____ C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:11 - 2016-09-02 10:11 - 00000788 _____ C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Windows\Start Menu\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:11 - 2016-09-02 10:11 - 00000788 _____ C:\Users\UpdatusUser\AppData\Roaming\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:11 - 2016-09-02 10:11 - 00000788 _____ C:\Users\UpdatusUser\AppData\LocalLow\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:11 - 2016-09-02 10:11 - 00000788 _____ C:\Users\UpdatusUser\AppData\Local\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:11 - 2016-09-02 10:11 - 00000788 _____ C:\Users\UpdatusUser\AppData\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:11 - 2016-09-02 10:11 - 00000788 _____ C:\Users\UpdatusUser\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:11 - 2016-09-02 10:11 - 00000788 _____ C:\Users\Public\Downloads\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:11 - 2016-09-02 10:11 - 00000788 _____ C:\Users\Public\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:11 - 2016-09-02 10:11 - 00000788 _____ C:\Users\MENDOOSAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:11 - 2016-09-02 10:11 - 00000788 _____ C:\Users\MENDOOSAN\AppData\Roaming\Microsoft\Windows\Start Menu\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:10 - 2016-09-02 10:11 - 00000788 _____ C:\Users\MENDOOSAN\AppData\Roaming\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:10 - 2016-09-02 10:10 - 00002790 _____ C:\Users\MENDOOSAN\AppData\Roaming\keyvalue.bin
2016-09-02 10:09 - 2016-09-02 10:09 - 00002790 _____ C:\Users\MENDOOSAN\AppData\LocalLow\keyvalue.bin
2016-09-02 10:09 - 2016-09-02 10:09 - 00000788 _____ C:\Users\MENDOOSAN\AppData\LocalLow\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:02 - 2016-09-02 10:11 - 00000788 _____ C:\Users\MENDOOSAN\AppData\Local\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:02 - 2016-09-02 10:02 - 00002790 _____ C:\Users\MENDOOSAN\keyvalue.bin
2016-09-02 10:02 - 2016-09-02 10:02 - 00002790 _____ C:\Users\MENDOOSAN\AppData\Local\keyvalue.bin
2016-09-02 10:02 - 2016-09-02 10:02 - 00002790 _____ C:\Users\MENDOOSAN\AppData\Local\Apps\keyvalue.bin
2016-09-02 10:02 - 2016-09-02 10:02 - 00002790 _____ C:\Users\MENDOOSAN\AppData\keyvalue.bin
2016-09-02 10:02 - 2016-09-02 10:02 - 00002790 _____ C:\Users\Default\Downloads\keyvalue.bin
2016-09-02 10:02 - 2016-09-02 10:02 - 00002790 _____ C:\Users\Default\Desktop\keyvalue.bin
2016-09-02 10:02 - 2016-09-02 10:02 - 00002790 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\keyvalue.bin
2016-09-02 10:02 - 2016-09-02 10:02 - 00002790 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\keyvalue.bin
2016-09-02 10:02 - 2016-09-02 10:02 - 00002790 _____ C:\Users\Default User\Downloads\keyvalue.bin
2016-09-02 10:02 - 2016-09-02 10:02 - 00002790 _____ C:\Users\Default User\Desktop\keyvalue.bin
2016-09-02 10:02 - 2016-09-02 10:02 - 00002790 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\keyvalue.bin
2016-09-02 10:02 - 2016-09-02 10:02 - 00002790 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\keyvalue.bin
2016-09-02 10:02 - 2016-09-02 10:02 - 00000788 _____ C:\Users\MENDOOSAN\AppData\Local\Apps\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:02 - 2016-09-02 10:02 - 00000788 _____ C:\Users\MENDOOSAN\AppData\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:02 - 2016-09-02 10:02 - 00000788 _____ C:\Users\MENDOOSAN\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:02 - 2016-09-02 10:02 - 00000788 _____ C:\Users\Default\Downloads\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:02 - 2016-09-02 10:02 - 00000788 _____ C:\Users\Default\Desktop\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:02 - 2016-09-02 10:02 - 00000788 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:02 - 2016-09-02 10:02 - 00000788 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:02 - 2016-09-02 10:02 - 00000788 _____ C:\Users\Default User\Downloads\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:02 - 2016-09-02 10:02 - 00000788 _____ C:\Users\Default User\Desktop\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:02 - 2016-09-02 10:02 - 00000788 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:02 - 2016-09-02 10:02 - 00000788 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:01 - 2016-09-02 10:02 - 00000788 _____ C:\Users\Default\AppData\Roaming\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:01 - 2016-09-02 10:02 - 00000788 _____ C:\Users\Default\AppData\Local\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:01 - 2016-09-02 10:02 - 00000788 _____ C:\Users\Default\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:01 - 2016-09-02 10:02 - 00000788 _____ C:\Users\Default User\AppData\Roaming\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:01 - 2016-09-02 10:02 - 00000788 _____ C:\Users\Default User\AppData\Local\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:01 - 2016-09-02 10:01 - 00002790 _____ C:\Users\Default\keyvalue.bin
2016-09-02 10:01 - 2016-09-02 10:01 - 00002790 _____ C:\Users\Default\AppData\Roaming\keyvalue.bin
2016-09-02 10:01 - 2016-09-02 10:01 - 00002790 _____ C:\Users\Default\AppData\Local\keyvalue.bin
2016-09-02 10:01 - 2016-09-02 10:01 - 00002790 _____ C:\Users\Default\AppData\keyvalue.bin
2016-09-02 10:01 - 2016-09-02 10:01 - 00002790 _____ C:\Users\Default User\AppData\Roaming\keyvalue.bin
2016-09-02 10:01 - 2016-09-02 10:01 - 00002790 _____ C:\Users\Default User\AppData\Local\keyvalue.bin
2016-09-02 10:01 - 2016-09-02 10:01 - 00002790 _____ C:\Users\Default User\AppData\keyvalue.bin
2016-09-02 10:01 - 2016-09-02 10:01 - 00000788 _____ C:\Users\Default\AppData\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:01 - 2016-09-02 10:01 - 00000788 _____ C:\Users\Default User\AppData\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:00 - 2016-09-02 10:12 - 00000788 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:00 - 2016-09-02 10:12 - 00000788 _____ C:\ProgramData\Microsoft\Windows\Start Menu\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 10:00 - 2016-09-02 10:00 - 00002790 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\keyvalue.bin
2016-09-02 10:00 - 2016-09-02 10:00 - 00002790 _____ C:\ProgramData\Microsoft\Windows\Start Menu\keyvalue.bin
2016-09-02 09:59 - 2016-09-02 10:12 - 00000788 _____ C:\Users\Public\Desktop\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 09:59 - 2016-09-02 09:59 - 00002790 _____ C:\Users\Public\Desktop\keyvalue.bin
2016-09-02 09:58 - 2016-09-02 10:11 - 00000788 _____ C:\Users\Все пользователи\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 09:58 - 2016-09-02 10:11 - 00000788 _____ C:\ProgramData\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 09:58 - 2016-09-02 09:58 - 00002790 _____ C:\Users\Все пользователи\keyvalue.bin
2016-09-02 09:58 - 2016-09-02 09:58 - 00002790 _____ C:\ProgramData\keyvalue.bin
2016-09-02 09:51 - 2016-09-02 09:51 - 00002790 _____ C:\Program Files\Common Files\keyvalue.bin
2016-09-02 09:51 - 2016-09-02 09:51 - 00000788 _____ C:\Program Files\Common Files\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 09:49 - 2016-09-02 09:49 - 00002790 _____ C:\Program Files\keyvalue.bin
2016-09-02 09:49 - 2016-09-02 09:49 - 00000788 _____ C:\Program Files\!!!!!!!!Как восстановить файлы!!!!!!!.txt
2016-09-02 09:36 - 2016-09-02 10:01 - 00000788 _____ C:\Users\!!!!!!!!Как восстановить файлы!!!!!!!.txt
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Андрей_РТС]

После перезагрузки настойчиво предлагает запустить C:\Windows\Installer\24f48f.msi
Раньшетакого не было. На всякий случай в архиве прикреплю этот файл

[thyrex]

Это после последних действий? Что за оборудование от HP у Вас установлено?

[Андрей_РТС]

Да, это появилось после последних действий. Подключен принтер с другого компьютера HP CP 1020. Так же в установленных принтерах есть HP Deskjet F2400 series, но такого принтера у нас на данный момент нет, а был ли он я затрудняюсь ответить.

[thyrex]

Странно, конечно. Чистились только файлы от вымогателя. Запустите этот файл, раз настойчиво просят.

С расшифровкой помочь не сможем