[email protected]

[COLOR=#000000][FONT=Arial]Пришло письмо на электронную почту,открыв которое на рабочем столе компьютера появилось сообщение с текстом:

"Внимание! Если вы читаете это сообщение, значит ваш компьютер был атакован опаснейшим вирусом. Вся ваша информация(документы,база данных и т.д.) на этом компьютере была зашифрована.Все зашифрованные файлы имеют расширение [email][email protected][/email] [/FONT][/COLOR]
[COLOR=#000000][FONT=Arial]Ни в коем случае не изменяйте файлы! И не используйте чужие дешифраторы, вы можете потерять ваши файлы навсегда. Стоимость дешифра 200$[/FONT][/COLOR]
[COLOR=#000000][FONT=Arial]Напишите письмо на адрес [email][email protected][/email], чтобы узнать как получить дешифратор. Если мы вам не ответили в течении 3 часов-повторите пересылку письма. В первом письме не прикрепляйте файлы для дешифровки. Все инструкции вы получите в ответном письме. Через 48 часов ваш пароль будет удалён из базы."[/FONT][/COLOR]
[COLOR=#000000][FONT=Arial]
Помогите решить проблему!!!!![/FONT][/COLOR]

Уважаемый(ая) [B]zubnik[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[QUOTE]Внимание !!! База поcледний раз обновлялась 23/02/2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
[/QUOTE]
Базы кто будет обновлять перед диагностикой? Переделывайте логи.

Обновил,переделал!

[QUOTE]Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
[/QUOTE]
Система у вас дырявая как решето, а если компьютер расположен в организации, то непонятно чем занимается ваш системный администратор.

[color="#FF0000"][b]Внимание![/b][/color] Официальная поддержка (и выпуск обновлений) для Windows XP [b]прекращена[/b]

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows

Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)

[URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

[CODE]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtC0EtCtDtC0FtCzy0AtAtB0Fzy0AtN0D0Tzu0CtByBtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1748425079
O2 - BHO: Funmoods Helper Object - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
[/CODE]

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]

Всё сделал!

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [] => [X]
CHR HomePage: Default -> hxxp://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtC0EtCtDtC0FtCzy0AtAtB0Fzy0AtN0D0Tzu0CtByBtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1748425079
CHR Extension: (237) - C:\Documents and Settings\VlanKo\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\okiojiphgdohfiginbpdjmgahlcopgcm [2015-01-09]
CHR HKLM\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\DOCUME~1\VlanKo\LOCALS~1\APPLIC~1\funmoods.crx [2012-09-26]
CHR HKLM\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\DOCUME~1\VlanKo\LOCALS~1\APPLIC~1\funmoods-speeddial.crx [2012-09-26]
CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Documents and Settings\VlanKo\Local Settings\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx [2013-07-04]
CHR HKU\S-1-5-21-1060284298-616249376-682003330-1004\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\DOCUME~1\VlanKo\LOCALS~1\APPLIC~1\funmoods.crx [2012-09-26]
CHR HKU\S-1-5-21-1060284298-616249376-682003330-1004\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\DOCUME~1\VlanKo\LOCALS~1\APPLIC~1\funmoods-speeddial.crx [2012-09-26]
C:\Documents and Settings\VlanKo\Local Settings\Temp\bssetup.exe
C:\Documents and Settings\VlanKo\Local Settings\Temp\devcon.exe
C:\Documents and Settings\VlanKo\Local Settings\Temp\hdinst_x64.exe
C:\Documents and Settings\VlanKo\Local Settings\Temp\MSETUP4.EXE
C:\Documents and Settings\VlanKo\Local Settings\Temp\SetD89.tmp.exe
C:\Documents and Settings\VlanKo\Local Settings\Temp\Setup-yabrowser.exe
C:\Documents and Settings\VlanKo\Local Settings\Temp\setup_wm.exe
C:\Documents and Settings\VlanKo\Local Settings\Temp\tmp1DE5.exe
C:\Documents and Settings\VlanKo\Local Settings\Temp\tmp963.exe
C:\Documents and Settings\VlanKo\Local Settings\Temp\uninst1.exe
C:\Documents and Settings\VlanKo\Local Settings\Temp\uninstall-1.exe
C:\Documents and Settings\VlanKo\Local Settings\Temp\Uninstall.exe
C:\Documents and Settings\VlanKo\Local Settings\Temp\utt1348.tmp.exe
C:\Documents and Settings\VlanKo\Local Settings\Temp\utt14DC.tmp.exe
C:\Documents and Settings\VlanKo\Local Settings\Temp\utt14F2.tmp.exe
C:\Documents and Settings\VlanKo\Local Settings\Temp\yupdate-exec-yabrowser.exe
C:\Documents and Settings\VlanKo\Local Settings\Temp\_hpcdb.exe
C:\Documents and Settings\VlanKo\Local Settings\Temp\_is5AC.exe
C:\Documents and Settings\VlanKo\Local Settings\Temp\_is7F.exe
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]

Сделал!

Логи в порядке. С расшифровкой не поможем.

[url]http://virusinfo.info/announcement.php?f=46&a=52[/url]

Спасибо за помощь!