Шифровальщик *.*.Locked [Trojan-Downloader.WinLNK.Small.v ]

Здравствуйте! Помогите пожалуйста 22.06.2016 пришло письмо я скачал архив "акт сверки .zip" от [EMAIL="[email protected]"][email protected][/EMAIL] (письмо сохранил если необходим переправлю или прикреплю), как скачал проверил антивирусом Nod, он ничего не увидел я распаковал архив и попытался открыть файл открылось программой wordpad открылось с ошибкой в шрифтах на английском было несколько слов похожие что необходима более старшая версия 2013 года.
Затем попробовал открыть microsoft word 2007 шрифт не смог подобрать после попытки открытия компьютер сильно завис пришлось перезагрузить. После перезагрузки заметил что на рабочем столе вордовские файлы начали меняться расширения, я начал искать причину и открыл настройки системы и нашел 2 лишние авто загрузочные файлы: 1) a.js argument путь указан в Local Settings - Temp и убрал с автозагрузки. 2) dumprep 0 -k в папке system32 в папке windows его тоже отключил.
Затем в процессах убрал процесс *.js не помню названия. также появились файлы на корневых папках локальных дисков [I][B]"!!!README!!!JjowB.rtf" [/B][/I](файлы сохранил,если необходимо отправлю) со следующим текстом:
[B]
***[/B][B]ВНИМАНИЕ!***[/B]
Ваши файлы были [B]зашифрованы [/B][B]вирусом [/B]RAA.
При шифровании был применен алгоритм [B]AES-256, [/B]используемый для защиты информации, представляющей государственную тайну.
Это значит, что [B]восстановить данные можно только купив ключ у нас[/B][B].[/B]
Покупка ключа - [B]простейшее [/B]дело.
[B]Все, что вам надо:[/B]
[B]1.[/B] Скинуть ваш ID [B]6EA67800-691B-4FD8-9AC5-572E003D7AD8 [/B]на почтовый адрес [B][email protected].[/B]
[B]2.[/B] Тестово расшифровать несколько файлов для того, чтоб убедиться, что у нас действительно есть ключ.
[B]3[/B][B].[/B] Оплатить покупку Вашего ключа путем перевода на Bitcoin-адрес [B]15izVPLZ9kxJXZKHe77fK73uDrehyJxWdt.[/B]
О том, как купить Bitcoin за рубли с любой карты - [URL]https://www.bestchange.ru/visa-mastercard-rur-to-bitcoin.html[/URL]
[B]4[/B]. [B]Получить ключ и программу для расшифровки файлов.[/B]
[B]5[/B][B].[/B] Предпринять меры по предотвращению подобных ситуаций в дальнейшем.

[B]Важно (1).[/B]
Не пытайтесь подобрать ключ, это бесполезно, и может уничтожить ваши данные окончательно.

[B]Важно (2).[/B]
Если по указанному адресу ([email protected]) вами не был получен ответ в течение 3х часов, вы можете воспользоваться для связи сервисом Bitmessage
(наш адрес - BM-2cVCd439eH5kTS9PzG4NxGUAtSCxLywsnv).
Детальнее о программе - [URL]https://bitmessage.org/wiki/Main_Page[/URL]

[B]Важно (3).[/B]
Мы [B]НЕ МОЖЕМ [/B]хранить ваши ключи вечно. [B]Все ключи[/B], за которые не было выплачено вознаграждение, [B]удаляются в течение недели с момента заражения[/B].

README файлы расположены в корне каждого диска.

ВАШ ID - 6EA67800-691B-4FD8-9AC5-572E003D7AD8

[I][B]и файл "!!!README!!!hQ6rB.rtf" со следующим текстом:[/B][/I]

[B]***[/B][B]ВНИМАНИЕ!***[/B]
Ваши файлы были [B]зашифрованы [/B][B]вирусом [/B]RAA.
При шифровании был применен алгоритм [B]AES-256, [/B]используемый для защиты информации, представляющей государственную тайну.
Это значит, что [B]восстановить данные можно только купив ключ у нас[/B][B].[/B]
Покупка ключа - [B]простейшее [/B]дело.
[B]Все, что вам надо:[/B]
[B]1.[/B] Скинуть ваш ID [B]6EA67800-691B-4FD8-8501-A72D3760AB18DOUBLE [/B]на почтовый адрес [B][email protected].[/B]
[B]2.[/B] Тестово расшифровать несколько файлов для того, чтоб убедиться, что у нас действительно есть ключ.
[B]3[/B][B].[/B] Оплатить покупку Вашего ключа путем перевода на Bitcoin-адрес [B]17cpD7m7FrRWaQb1Qt4rcNMvwLsNt31Hos.[/B]
О том, как купить Bitcoin за рубли с любой карты - [URL]https://www.bestchange.ru/visa-mastercard-rur-to-bitcoin.html[/URL]
[B]4[/B]. [B]Получить ключ и программу для расшифровки файлов.[/B]
[B]5[/B][B].[/B] Предпринять меры по предотвращению подобных ситуаций в дальнейшем.

[B]Важно (1).[/B]
Не пытайтесь подобрать ключ, это бесполезно, и может уничтожить ваши данные окончательно.

[B]Важно (2).[/B]
Если по указанному адресу ([email protected]) вами не был получен ответ в течение 3х часов, вы можете воспользоваться для связи сервисом Bitmessage
(наш адрес - BM-2cVCd439eH5kTS9PzG4NxGUAtSCxLywsnv).
Детальнее о программе - [URL]https://bitmessage.org/wiki/Main_Page[/URL]

[B]Важно (3).[/B]
Мы [B]НЕ МОЖЕМ [/B]хранить ваши ключи вечно. [B]Все ключи[/B], за которые не было выплачено вознаграждение, [B]удаляются в течение недели с момента заражения[/B].

README файлы расположены в корне каждого диска.

ВАШ ID - [B]6EA67800-691B-4FD8-8501-A72D3760AB18DOUBLE


[/B]После этого перешел в безопасный режим и проверил drweb cureit он ничего не нашел.

Перейдя в обычный режим увидел что вирус успел зашифровать папку мои документы все файлы кроме TXT файлов. зашифровал файлы с расширением *.doc, *.pdf, *.dwg, *.jpg, *.rtf, *.xls, *.rar, *.xlsx, *.docx.
После этого нашел ваш форум и сделал все по инструкции и прикрепляю их.

Уважаемый(ая) [B]Aikidoke[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Пришедшее вложение из письма пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteService('innfd_1_10_0_14');
DeleteService('4F969F00C65BE438');
DeleteService('fivyzipo');
DeleteService('piveheki');
DeleteService('sivuguwu');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\7121CE40-1433131154-11D5-A189-5404A6C37C0B\nst68.tmpfs','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\7121CE40-1433131154-11D5-A189-5404A6C37C0B\jnsn7D.tmp','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\7121CE40-1433131154-11D5-A189-5404A6C37C0B\hnsd7F.tmp','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\7121CE40-1433131154-11D5-A189-5404A6C37C0B\hnsd7F.tmp','32');
DeleteFile('C:\Documents and Settings\Admin\Application Data\7121CE40-1433131154-11D5-A189-5404A6C37C0B\jnsn7D.tmp','32');
DeleteFile('C:\Documents and Settings\Admin\Application Data\7121CE40-1433131154-11D5-A189-5404A6C37C0B\nst68.tmpfs','32');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\41F09DDD6.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\innfd_1_10_0_14.sys','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.

[B][COLOR="Red"]Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи[/COLOR][/B]

quarantine.zip отправил по красной ссылке.
Новые логи прикрепляю

[quote="thyrex;1388056"]Пришедшее вложение из письма пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.[/quote]Это я себе написал что-ли?

Все вроде сделал. вложение через avz создал архив и его прикрепил.

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, и его тоже прикрепите в следующем сообщении.
6. Логи, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.

про сканировал программой FRST логи прикрепил.

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1433934714&z=47092fdab3ebbc7239fe356g6zfcbcftac2z7zeb8w&from=cmi&uid=WDCXWD3200AAKX-001CA0_WD-WMAYUK87897578975
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1433934714&z=47092fdab3ebbc7239fe356g6zfcbcftac2z7zeb8w&from=cmi&uid=WDCXWD3200AAKX-001CA0_WD-WMAYUK87897578975&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1433934714&z=47092fdab3ebbc7239fe356g6zfcbcftac2z7zeb8w&from=cmi&uid=WDCXWD3200AAKX-001CA0_WD-WMAYUK87897578975
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1433934714&z=47092fdab3ebbc7239fe356g6zfcbcftac2z7zeb8w&from=cmi&uid=WDCXWD3200AAKX-001CA0_WD-WMAYUK87897578975&q={searchTerms}
HKU\S-1-5-21-1659004503-2000478354-682003330-500\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=381a1b97cdcf16e909cf0cee513d6102&text={searchTerms}
HKU\S-1-5-21-1659004503-2000478354-682003330-500\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=381a1b97cdcf16e909cf0cee513d6102&text={searchTerms}
HKU\S-1-5-21-1659004503-2000478354-682003330-500\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1433934714&z=47092fdab3ebbc7239fe356g6zfcbcftac2z7zeb8w&from=cmi&uid=WDCXWD3200AAKX-001CA0_WD-WMAYUK87897578975
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1433934714&z=47092fdab3ebbc7239fe356g6zfcbcftac2z7zeb8w&from=cmi&uid=WDCXWD3200AAKX-001CA0_WD-WMAYUK87897578975&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1433934714&z=47092fdab3ebbc7239fe356g6zfcbcftac2z7zeb8w&from=cmi&uid=WDCXWD3200AAKX-001CA0_WD-WMAYUK87897578975&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1659004503-2000478354-682003330-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=381a1b97cdcf16e909cf0cee513d6102&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1659004503-2000478354-682003330-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=381a1b97cdcf16e909cf0cee513d6102&text=
SearchScopes: HKU\S-1-5-21-1659004503-2000478354-682003330-500 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1433934714&z=47092fdab3ebbc7239fe356g6zfcbcftac2z7zeb8w&from=cmi&uid=WDCXWD3200AAKX-001CA0_WD-WMAYUK87897578975&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1433934714&z=47092fdab3ebbc7239fe356g6zfcbcftac2z7zeb8w&from=cmi&uid=WDCXWD3200AAKX-001CA0_WD-WMAYUK87897578975
FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\nz806nsu.default\extensions\[email protected] => not found
C:\Documents and Settings\Admin\Local Settings\Temp\2FKBTI1UYT8.exe
C:\Documents and Settings\Admin\Local Settings\Temp\6YJ29SMIN0V.exe
C:\Documents and Settings\Admin\Local Settings\Temp\DUS6TGATIJX.exe
C:\Documents and Settings\Admin\Local Settings\Temp\InstHelper.exe
C:\Documents and Settings\Admin\Local Settings\Temp\SGYERMVUPV3.exe
C:\Documents and Settings\Admin\Local Settings\Temp\V34R6C5CP84.exe
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]

выполнил и прикрепил.

C расшифровкой не сможем помочь

Полученное письмо с вирусом перешлите по адресу, отправленному в личные сообщения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\admin\мои документы\загрузки\акт сверки .zip - [B]Trojan-Downloader.WinLNK.Small.v[/B][/LIST][/LIST]