Зашифрованы файлы [email protected]

[FONT=Verdana]Здравствуйте. Файлы заменены на [/FONT][email protected] 1.1.0.0.id-.randomname-*.cbf
Сможете помочь? И как произвести оплату?

Уважаемый(ая) [B]Drozhd_r[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\111\AppData\Local\Microsoft\Windows\system.vbs','');
QuarantineFile('C:\Users\111\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
QuarantineFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe','');
QuarantineFile('C:\Users\111\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\111\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','');
DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
DeleteFile('C:\Users\111\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\PennyBee.job','32');
DeleteFile('C:\Windows\Tasks\Price Fountain.job','32');
DeleteFile('C:\Users\111\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\appdistrib','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32');
DeleteFile('C:\Windows\system32\Tasks\Kbupdater Utility','32');
DeleteFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe','32');
DeleteFile('C:\Windows\system32\Tasks\PennyBee','32');
DeleteFile('C:\Windows\system32\Tasks\Safebrowser','32');
DeleteFile('C:\Users\111\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
DeleteFile('C:\Users\111\AppData\Local\Microsoft\Windows\system.vbs','32');
DeleteFile('C:\Windows\system32\Tasks\SystemScript','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.

[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]

Запрошенный карантин отправил. Вот новы логи:

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Полученные в пп. 4 и 5 логи заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.

архив готов.

Добрый вечер. Судя по долгому молчанию восстановить файлы не получится?

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKLM\...\Run: [pr] => C:\Program Files\МICROSОFТ-NET.exe
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.certified-toolbar.com?si=85053&st=home&tid=29529&ver=6.9&ts=1413369246310&tguid=85053-29529-1413369246310-E49EB854CCD2E97E13A622B69348280F
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.certified-toolbar.com?si=85053&tid=29529&ver=6.9&ts=1413369246310&tguid=85053-29529-1413369246310-E49EB854CCD2E97E13A622B69348280F&st=chrome&q=
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://babyuser.net/
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.certified-toolbar.com?si=85053&tid=29529&ver=6.9&ts=1413369246310&tguid=85053-29529-1413369246310-E49EB854CCD2E97E13A622B69348280F&st=chrome&q=
HKU\S-1-5-21-4081374541-4208040571-904823648-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.certified-toolbar.com?si=85053&tid=29529&ver=6.9&ts=1413369246310&tguid=85053-29529-1413369246310-E49EB854CCD2E97E13A622B69348280F&st=chrome&q=
HKU\S-1-5-21-4081374541-4208040571-904823648-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.certified-toolbar.com?si=85053&tid=29529&ver=6.9&ts=1413369246310&tguid=85053-29529-1413369246310-E49EB854CCD2E97E13A622B69348280F&st=chrome&q=
HKU\S-1-5-21-4081374541-4208040571-904823648-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.certified-toolbar.com?si=85053&tid=29529&ver=6.9&ts=1413369246310&tguid=85053-29529-1413369246310-E49EB854CCD2E97E13A622B69348280F&st=chrome&q=
HKU\S-1-5-21-4081374541-4208040571-904823648-1000\Software\Microsoft\Internet Explorer\Main,Start Default_Page_URL = hxxp://search.certified-toolbar.com?si=85053&st=home&tid=29529&ver=6.9&ts=1413369246310&tguid=85053-29529-1413369246310-E49EB854CCD2E97E13A622B69348280F
SearchScopes: HKLM -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.certified-toolbar.com?si=85053&st=bs&tid=29529&ver=6.9&ts=1413369246310&tguid=85053-29529-1413369246310-E49EB854CCD2E97E13A622B69348280F&q={searchTerms}
SearchScopes: HKLM -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.certified-toolbar.com?si=85053&st=bs&tid=29529&ver=6.9&ts=1413369246310&tguid=85053-29529-1413369246310-E49EB854CCD2E97E13A622B69348280F&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4081374541-4208040571-904823648-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://www.trovi.com/Results.aspx?gd=&ctid=CT3331617&octid=EB_ORIGINAL_CTID&ISID=MEC305AFC-DA82-4044-94C9-58F2395E5891&SearchSource=58&CUI=&UM=6&UP=SP49EF4BB2-4B24-4E19-9B01-3A2E56C88023&q={searchTerms}&SSPV=
SearchScopes: HKU\S-1-5-21-4081374541-4208040571-904823648-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.trovi.com/Results.aspx?gd=&ctid=CT3331617&octid=EB_ORIGINAL_CTID&ISID=MEC305AFC-DA82-4044-94C9-58F2395E5891&SearchSource=58&CUI=&UM=6&UP=SP49EF4BB2-4B24-4E19-9B01-3A2E56C88023&q={searchTerms}&SSPV=
SearchScopes: HKU\S-1-5-21-4081374541-4208040571-904823648-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.certified-toolbar.com?si=85053&st=bs&tid=29529&ver=6.9&ts=1413369246310&tguid=85053-29529-1413369246310-E49EB854CCD2E97E13A622B69348280F&q={searchTerms}
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre6\bin\ssv.dll => No File
BHO: No Name -> {8E8F97CD-60B5-456F-A201-73065652D099} -> No File
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\PROGRA~1\MIF5BA~1\Office14\URLREDIR.DLL => No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => No File
Toolbar: HKLM - No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\S-1-5-21-4081374541-4208040571-904823648-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-4081374541-4208040571-904823648-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.dll No File
Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.dll No File
Handler: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll No File
Handler: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll No File
CHR Extension: (No Name) - C:\Users\111\AppData\Local\Google\Chrome\User Data\Default\Extensions\nkcpopggjcjkiicpenikeogioednjeac [2014-12-02] [UpdateUrl: hxxp://download.yandex.ru/bar/chrome/updates-vb.xml] <==== ATTENTION
CHR HKLM\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [bpgangmffjcofiknibcmfjionicohfgj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [clpdgmdkdnijjbgmnajolnbnjejoeogm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path\update_url>
CHR HKLM\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lejgaailkdamkibfiedjjnejcibjgljl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [mibfbmhijjgpkmobcfdlelpccpeafoom] - <no Path\update_url>
CHR HKLM\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\111\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found>
CHR HKLM\...\Chrome\Extension: [nldekieodmkceimbjnaboonipiaakoel] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [nphbmanpfjfdngbaamhajooihmjacmfe] - hxxps://clients2.google.com/service/update2/crx?response=redirect\\&x=id%3Dnphbmanpfjfdngbaamhajooihmjacmfe%26uc%26lang%3Den-US&prod=chrome"
CHR HKLM\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-4081374541-4208040571-904823648-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-4081374541-4208040571-904823648-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (SuperMegaBest.com) - C:\Users\111\AppData\Roaming\Opera Software\Opera Stable\Extensions\aonedlchkbicmhepimiahfalheedjgbh [2014-10-15]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\111\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhloflhklmhfpedakmangadcdofhnnoh [2015-02-04]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\111\AppData\Roaming\Opera Software\Opera Stable\Extensions\djnfikhimijfcoaoblganhllmdjejggi [2014-12-31]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\111\AppData\Roaming\Opera Software\Opera Stable\Extensions\fnbdnhhicmebfgdgglcdacdapkcihcoh [2015-02-14]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\111\AppData\Roaming\Opera Software\Opera Stable\Extensions\gmbgaklkmjakoegficnlkhebmhkjfich [2015-01-15]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\111\AppData\Roaming\Opera Software\Opera Stable\Extensions\inoeonmfapjbbkmdafoankkfajkcphgd [2015-01-30]
2016-05-02 14:25 - 2016-05-02 14:25 - 0927422 _____ () C:\Program Files\desk.bmp
2016-05-02 14:25 - 2016-05-02 14:25 - 0153325 _____ () C:\Program Files\desk.jpg
2016-05-01 12:18 - 2016-05-02 14:25 - 0000020 _____ () C:\Program Files\VOYFZCFJTM.XZL
Task: {376FB0FB-08C8-45E4-AACE-D9871B1A6596} - \Kbupdater Utility -> No File <==== ATTENTION
Task: {4E6CEF01-AA80-4DF1-9FB8-E019264D6DBB} - \Safebrowser -> No File <==== ATTENTION
Task: {84F6DE8E-8DA0-41BE-8483-290FC4C2D92C} - \SystemScript -> No File <==== ATTENTION
Task: {D55A4D79-4C8B-4839-B064-41014B03826D} - \appdistrib -> No File <==== ATTENTION
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении!
[list][*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]

Спасибо. Вот новый лог.

Образцы шифрованных файлов пришлите

В архиве текстовый документ и графический

В архиве всего один xls-файл :)

Проверьте ЛС

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]