Файлы зашифрованы [[email protected]] Помогите расшифровать

[INDENT]Сегодня на почту пришло сообщение с темой [B]СУДЕБНЫЙ ИСК [/B]от [B]Cyдебные приставы[/B] <[email protected]>
После чего все файлы оказались зашифрованы, на рабочем столе появилось сообщение "
Все файлы зашифрованы, если хочешь всё вернуть, отправь 1 зашифрованный файл на эту почту: [EMAIL="[email protected]"][email protected][/EMAIL]
ВНИМАНИЕ!!! у вас есть 1 неделя что-бы написать мне на почту, по прошествии этого срока расшифровка станет невозможна" !!!!![/INDENT]

Уважаемый(ая) [B]nata_bykova[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url]http://virusinfo.info/pravila.html[/url]

Файлы зашифрованы [[email protected]

Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7UFH2L74\Fby59wKQql5[1].js','');
DeleteFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7UFH2L74\Fby59wKQql5[1].js','32');
DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV.sys','32');
DeleteService('BAPIDRV');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].

[SPOILER=отчет]# AdwCleaner v4.001 - Отчёт создан 24/10/2014 at 13:36:34
# Обновлено 20/10/2014 by Xplode
# базы данных : 2014-10-23.2
# Операционная система : Windows 7 Professional Service Pack 1 (32 bits)
# Имя пользователя : Бухгалтер - BUXGALTER
# Запущено из : C:\Users\Бухгалтер\Downloads\adwcleaner_4.001.exe
# Настройки : Сканировать

***** [ Службы ] *****

Служба Найдено : MgAssistService

***** [ Файлы / Папки ] *****

Папка Найдено : C:\Program Files\AlterGeo
Папка Найдено : C:\Program Files\ASP
Папка Найдено : C:\Program Files\Mail.Ru
Папка Найдено : C:\Program Files\Mobogenie
Папка Найдено : C:\Program Files\Tuneup Pro
Папка Найдено : C:\ProgramData\AlterGeo
Папка Найдено : C:\ProgramData\Media Get LLC
Папка Найдено : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced-System Protector
Папка Найдено : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mail.Ru
Папка Найдено : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tuneup Pro
Папка Найдено : C:\ProgramData\Systweak
Папка Найдено : C:\Users\Бухгалтер\AppData\Local\genienext
Папка Найдено : C:\Users\Бухгалтер\AppData\Local\Mail.Ru
Папка Найдено : C:\Users\Бухгалтер\AppData\Local\Media Get LLC
Папка Найдено : C:\Users\Бухгалтер\AppData\Local\MediaGet2
Папка Найдено : C:\Users\Бухгалтер\AppData\Local\Mobogenie
Папка Найдено : C:\Users\Бухгалтер\AppData\LocalLow\Mail.Ru
Папка Найдено : C:\Users\Бухгалтер\AppData\Roaming\1H1Q
Папка Найдено : C:\Users\Бухгалтер\AppData\Roaming\etranslator
Папка Найдено : C:\Users\Бухгалтер\AppData\Roaming\Media Get LLC
Папка Найдено : C:\Users\Бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2
Папка Найдено : C:\Users\Бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie
Папка Найдено : C:\Users\Бухгалтер\AppData\Roaming\Mozilla\Firefox\Profiles\k7wui19f.default\FoxTab
Папка Найдено : C:\Users\Бухгалтер\AppData\Roaming\Mra
Папка Найдено : C:\Users\Бухгалтер\AppData\Roaming\newnext.me
Папка Найдено : C:\Users\Бухгалтер\AppData\Roaming\Solvusoft
Папка Найдено : C:\Users\Бухгалтер\AppData\Roaming\Systweak
Папка Найдено : C:\Users\Бухгалтер\AppData\Roaming\Tuneup Pro
Папка Найдено : C:\Users\Бухгалтер\Documents\Mobogenie
Файл Найдено : C:\Users\Public\Desktop\advanced-System Protector.lnk
Файл Найдено : C:\Users\Public\Desktop\Tuneup pro.lnk
Файл Найдено : C:\Users\Бухгалтер\daemonprocess.txt
Файл Найдено : C:\Windows\system32\roboot.exe

***** [ задачи ] *****

задачa Найдено : advanced-System Protector_startup
задачa Найдено : Tuneup Pro
задачa Найдено : Tuneup Pro_DEFAULT
задачa Найдено : Tuneup Pro_UPDATES
задачa Найдено : WinThruster
задачa Найдено : WinThruster_DEFAULT
задачa Найдено : WinThruster_UPDATES

***** [ Ярлыки ] *****


***** [ Реестр ] *****

Ключ Найдено : HKCU\Software\InstallCore
Ключ Найдено : HKCU\Software\Media Get LLC
Ключ Найдено : HKCU\Software\MediaGet
Ключ Найдено : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
Ключ Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\MediaGet
Ключ Найдено : HKCU\Software\systweak
Ключ Найдено : HKCU\Software\Tune
Ключ Найдено : HKCU\Software\Tuneup Pro
Ключ Найдено : HKLM\SOFTWARE\Conduit
Ключ Найдено : HKLM\SOFTWARE\Microsoft\Tracing\AdvancedSystemProtector_RASAPI32
Ключ Найдено : HKLM\SOFTWARE\Microsoft\Tracing\AdvancedSystemProtector_RASMANCS
Ключ Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Mobogenie.exe
Ключ Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd
Ключ Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\00212D92-C5D8-4ff4-AE50-B20F0F85C40A_Systweak_Ad~4A5BE654_is1
Ключ Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mobogenie
Ключ Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Tuneup Pro_is1
Ключ Найдено : HKLM\SOFTWARE\systweak
Ключ Найдено : HKLM\SOFTWARE\Tune
Ключ Найдено : HKLM\SOFTWARE\Tuneup Pro

***** [ Браузеры ] *****

-\\ Internet Explorer v11.0.9600.17344


-\\ Mozilla Firefox v4.0 (ru)


-\\ Google Chrome v36.0.1985.125


*************************

AdwCleaner[R0].txt - [4351 octets] - [24/10/2014 10:28:16]
AdwCleaner[R1].txt - [4271 octets] - [24/10/2014 13:36:34]

########## EOF - C:\AdwCleaner\AdwCleaner[R1].txt - [4331 octets] ##########[/SPOILER]

[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Новые логи где?

log отправлен за 5 минут до отчета, на всякий случай еще раз

[QUOTE=nata_bykova;1178393]log отправлен за 5 минут до отчета, на всякий случай еще раз[/QUOTE]
Нет я имел в виду новые логи AVZ, HiJаckThis где?

Анализ AVZ и HijackThis

Карантин вас просили загрузить по красной ссылке вверху темы. Помимо логов AVZ еще нужен новый лог AdwCleaner после удаления записей.

Еще файл был в
C:\Program Files\y007.ru
С содержимым
{UVWXYZZAABCDDEEFGHIIIJKLLMMNOOPQRRSS-23.10.2014 10@34@103305163}
9163454751465548606044665492

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Назывался файл decryptpass.txt
теперь его там нет

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Запрашиваемый лог

Лог AdwCleaner после удаления получается другой (см. инструкцию по AdwCleaner).

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]