Вирус зашифровал файлы [email protected]

Здравствуйте ещё раз.
На одном из компьютеров вирус зашифровал все файлы.

На заражённом компьютере появились html документы со следующим текстом:

================================================== ===========

Все ваши документы, фотографии, базы данных и другие файлы были зашифрованы криптостойким алгоритмом с уникальным для вашего ПК ключом.
Расшифровать файлы можно только имея уникальный пароль для вашего ПК, другими способами расшифровать файлы невозможно!

Стоимость дешифратора 4000 рублей, оплата производится при помощи QIWI ваучеров.
Как оплатить:
1.Если у вас нет QIWI кошелька, необходимо зарегистрировать его по ссылке - [URL]https://qiwi.ru/register/form.action[/URL] (видео о том как зарегистрировать кошелек - [URL]http://www.youtube.com/watch?v=LFgeqTrTUL4[/URL])
2. Пополнить ваш QIWI кошелек на 4000 рублей (Способы пополнения кошелька - [URL]https://qiwi.ru/replenish.action[/URL])
3. Выпустить QIWI ваучер на сумму 4000 рублей по ссылке - https://qiwi.ru/transfer/eggs/buy.action<(видео о том как выпустить QIWI ваучер - [URL]http://www.youtube.com/watch?v=tEqvBK-LbTk[/URL])
4. Прислать нам на email сообщение с темой "Дешифратор для ID:CC6D3624___user" и номером QIWI ваучера.
5. В течение некоторого времени (до 12 часов) вы получите ответное письмо с сылкой для скачивания дешифратора и ключ для расшифровки ваших файлов. Также можете указать ваш номер мобильного телефона и мы вышлем смс сообщение о том, что дешифратор отправлен.

ЕСЛИ ВЫ ХОТИТЕ УБЕДИТСЯ В ТОМ, ЧТО ДЕШИФРАТОР ДЛЯ ВАШИХ ФАЙЛОВ У НАС ДЕЙСТВИТЕЛЬНО ЕСТЬ МОЖЕТЕ ПРИСЛАТЬ КАКОЙ-НИБУДЬ ЗАШИФРОВАННЫЙ ФАЙЛ НАМ НА EMAIL И МЫ ВЕРНЕМ ЕГО ОРИГИНАЛ
Email для связи с нами - [EMAIL="[email protected]"][email protected][/EMAIL]

================================================== ===========

Просканировал систему утилитой Cureit, нашло 44 вредоносных программы, выбрал действия предложенные данной утилитой: лечить и переместить.

Я скопировал название одного из зашифрованных файлов .doc: «Выставки на порталах[email protected]_XIzU»

К письму прикрепил логи:

Уважаемый(ая) [B]pomfair[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\DOCUME~1\C102~1\APPLIC~1\PennyBee\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Program Files\CinemaPlus12bV02.02\9725e541-b99e-4df9-b8dc-81a8241a9438-7.exe','');
QuarantineFile('C:\Program Files\CinemaPlus12bV02.02\9725e541-b99e-4df9-b8dc-81a8241a9438-6.exe','');
QuarantineFile('C:\Program Files\CinemaPlus12bV02.02\9725e541-b99e-4df9-b8dc-81a8241a9438-5.exe','');
QuarantineFile('C:\Program Files\CinemaPlus12bV02.02\9725e541-b99e-4df9-b8dc-81a8241a9438-4.exe','');
QuarantineFile('C:\Program Files\CinemaPlus12bV02.02\9725e541-b99e-4df9-b8dc-81a8241a9438-1-7.exe','');
QuarantineFile('C:\Program Files\CinemaPlus12bV02.02\9725e541-b99e-4df9-b8dc-81a8241a9438-1-6.exe','');
QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe','');
QuarantineFile('C:\Documents and Settings\ММ\Local Settings\Application Data\wincheck\wincheck.exe','');
QuarantineFile('C:\Documents and Settings\ММ\Local Settings\Application Data\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('C:\Documents and Settings\ММ\Application Data\Browsers\exe.emorhc.bat','');
SetServiceStart('servervo', 4);
DeleteService('servervo');
SetServiceStart('serversu', 4);
DeleteService('serversu');
TerminateProcessByName('c:\documents and settings\ММ\application data\vopackage\vosrv.exe');
QuarantineFile('c:\documents and settings\ММ\application data\vopackage\vosrv.exe','');
TerminateProcessByName('c:\documents and settings\ММ\application data\softwareupdater\susrv.exe');
QuarantineFile('c:\documents and settings\ММ\application data\softwareupdater\susrv.exe','');
DeleteFile('c:\documents and settings\ММ\application data\softwareupdater\susrv.exe','32');
DeleteFile('c:\documents and settings\ММ\application data\vopackage\vosrv.exe','32');
DeleteFile('C:\Documents and Settings\ММ\Application Data\Browsers\exe.emorhc.bat','32');
DeleteFile('C:\Documents and Settings\ММ\Local Settings\Application Data\Amigo\Application\amigo.exe','32');
DeleteFile('C:\Documents and Settings\ММ\Local Settings\Application Data\SmartWeb\SmartWebHelper.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SmartWeb','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WinCheck','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vcs_autorun','command');
DeleteFile('C:\Documents and Settings\ММ\Local Settings\Application Data\wincheck\wincheck.exe','32');
DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32');
DeleteFile('C:\Program Files\CinemaPlus12bV02.02\9725e541-b99e-4df9-b8dc-81a8241a9438-1-6.exe','32');
DeleteFile('C:\WINDOWS\Tasks\9725e541-b99e-4df9-b8dc-81a8241a9438-1-6.job','32');
DeleteFile('C:\Program Files\CinemaPlus12bV02.02\9725e541-b99e-4df9-b8dc-81a8241a9438-1-7.exe','32');
DeleteFile('C:\WINDOWS\Tasks\9725e541-b99e-4df9-b8dc-81a8241a9438-1-7.job','32');
DeleteFile('C:\Program Files\CinemaPlus12bV02.02\9725e541-b99e-4df9-b8dc-81a8241a9438-4.exe','32');
DeleteFile('C:\WINDOWS\Tasks\9725e541-b99e-4df9-b8dc-81a8241a9438-4.job','32');
DeleteFile('C:\WINDOWS\Tasks\9725e541-b99e-4df9-b8dc-81a8241a9438-5.job','32');
DeleteFile('C:\Program Files\CinemaPlus12bV02.02\9725e541-b99e-4df9-b8dc-81a8241a9438-5.exe','32');
DeleteFile('C:\Program Files\CinemaPlus12bV02.02\9725e541-b99e-4df9-b8dc-81a8241a9438-6.exe','32');
DeleteFile('C:\WINDOWS\Tasks\9725e541-b99e-4df9-b8dc-81a8241a9438-6.job','32');
DeleteFile('C:\WINDOWS\Tasks\9725e541-b99e-4df9-b8dc-81a8241a9438-7.job','32');
DeleteFile('C:\Program Files\CinemaPlus12bV02.02\9725e541-b99e-4df9-b8dc-81a8241a9438-7.exe','32');
DeleteFile('C:\DOCUME~1\C102~1\APPLIC~1\PennyBee\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
DeleteFile('C:\WINDOWS\Tasks\GLWJZWV.job','32');
DeleteFile('C:\WINDOWS\Tasks\LYHYM.job','32');
DeleteFile('C:\WINDOWS\Tasks\SmartWeb Upgrade Trigger Task.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]

Прислал карантин, отправил файл отчёта mbam.txt

Файл отчёта mbam.txt получил точно также, как и здесь [url]http://virusinfo.info/showthread.php?t=176605[/url]

Точно такая же ерунда. Такой лог нам не нужен. Переделывайте

лог прикрепил, карантин отправил до этого

Поместите в карантин МВАМ все найденное

Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]

Прикрепил логи RSIT

[QUOTE]C:\Program Files\8a71cf99-e152-4fe5-bc96-c40a859b324c
C:\Program Files\globalUpdate
C:\Documents and Settings\ММ\Application Data\SmartWeb
C:\Documents and Settings\ММ\Application Data\Browsers[/QUOTE]удалите вручную

С расшифровкой не поможем

[url]http://virusinfo.info/announcement.php?f=46&a=52[/url]

Папки удалил, и удалил все файлы «КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html»

Вообще я писал в тех. поддержку Dr. Web в 02.02.2015 по этому поводу, т.к. у нас лицензия коммерческая, то они помогают в таких случаях, но ответа до сих пор нет к сожалению.
Вирусы попали через почту 01.01.2015, договор.zip, в котором был исполняемый файл договор.src

А если обратиться в раздел ПОМОГИТЕ+?
А если сделать откат системы к ранней точки восстановления до того как было заражение?

[quote="pomfair;1226036"]А если обратиться в раздел ПОМОГИТЕ+?[/quote]Без шансов

[quote="pomfair;1226036"]Вообще я писал в тех. поддержку Dr. Web в 02.02.2015 по этому поводу, т.к. у нас лицензия коммерческая[/quote]Терзайте их, возможно и появится у них что-то с течением времени

А если восстановить систему с контрольной точки? Тоже без шансов?
В понедельник потерзаю Dr. Web, может что и будет

При восстановлении системы файлы документов не затрагиваются никоим образом. Так что откат не поможет

Ну что ж, спасибо за помощь. Зато вирусов нет на компьютере :)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]