AES256

Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.
Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.


Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.
TOR: [URL]https://www.torproject.org/[/URL] | Видео инструкция: [URL]http://youtu.be/43feBLwHzn0[/URL]
url_1: [URL]http://y6kpyefykdvswxps.onion:4567/pay.html[/URL]
url_2: [URL]http://gi3ruskskqzff2rw.onion:4567/pay.html[/URL]
HashKey: error
ID: 8177

Уважаемый(ая) [B]pelsh[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Окс\AppData\Roaming\runWIN\update.exe','');
QuarantineFile('C:\Users\Окс\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
QuarantineFile('C:\Users\Окс\AppData\Local\Piratium\PiratiumInit.exe','');
QuarantineFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe','');
TerminateProcessByName('C:\Users\Окс\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe');
QuarantineFile('C:\Users\Окс\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','');
QuarantineFileF('C:\Users\Окс\AppData\Roaming\Mail.RU NewGamesT', '*.*', true,'', 0, 0, '', '');
QuarantineFileF('C:\Users\Окс\AppData\Roaming\runWIN', '*.*', true,'', 0, 0, '', '');
DeleteFile('C:\Users\Окс\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32');
DeleteFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe.bat','32');
DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32');
DeleteFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
DeleteFile('C:\Users\Окс\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
DeleteFile('C:\Users\Окс\AppData\Roaming\runWIN\update.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewRunWIN');
DeleteFile('C:\Windows\system32\Tasks\kbrowser-updater-utility','64');
DeleteFileMask('C:\Users\Окс\AppData\Roaming\runWIN', '*', true);
DeleteDirectory('C:\Users\Окс\AppData\Roaming\runWIN');
DeleteFileMask('C:\Users\Окс\AppData\Roaming\Mail.RU NewGamesT', '*', true);
DeleteDirectory('C:\Users\Окс\AppData\Roaming\Mail.RU NewGamesT');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
Сделайте [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]такой лог[/url]

RSIT почему-то вылетел с ошибкой "Subscript used with non-Array variable." поэтому только один лог получился.

Поместите в карантин МВАМ всё найденное

Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://startovka.ru
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)[/CODE]

Пересоздайте ярлык
[QUOTE]C:\Users\Окс\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk[/QUOTE]

Пробуйте сделать логи RSIT еще раз

Вроде всё сделал правильно, но всё равно ярлыки создаются с расширением .lnk и RSIT так-же крашится при создании снимка реестра. Может стоить систему обновить, а то год без обновы, ~700мб набежало?

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

вот

Пробуйте [url]http://rghost.ru/58412716[/url]

[QUOTE=thyrex;1169214]Пробуйте [url]http://rghost.ru/58412716[/url][/QUOTE]
Невозможно подобрать пароль

Увы

Жаль, но всё равно спасибо за попытку. Хотя одного не понятно, к чему эти все манипуляции если можно было сразу проверить дешифратор и не мучатся со скриптами и логами? Кстати тут почему-то человечку помогло [URL="http://virusinfo.info/showthread.php?t=167629&p=1168002&viewfull=1#post1168002"]http://virusinfo.info/showthread.php?t=167629&p=1168002&viewfull=1#post1168002[/URL]

[quote="pelsh;1169331"]к чему эти все манипуляции если можно было сразу проверить дешифратор[/quote]Он только сегодня появился :)

[quote="pelsh;1169331"]Кстати тут почему-то человечку помогло[/quote]Был подходящий ключ

[QUOTE=thyrex;1169372]Он только сегодня появился :)

Был подходящий ключ[/QUOTE]

Два подходящих если быть точным :)

Да чёрт с файлами фотки только жалко, а вот что с ярлыками то делать,? Я их удаляю, и новые создаются шифрованые неизвестно только чем, т.к мы всё ведь пофиксили, как жить дальше, ниодна прога со стола не запускается :shok:

[quote="pelsh;1169445"]а вот что с ярлыками то делать,? Я их удаляю, и новые создаются шифрованые неизвестно только чем,[/quote]Заархивируйте такой ярлык и пришлите

[QUOTE=thyrex;1169449]Заархивируйте такой ярлык и пришлите[/QUOTE]

Глубоко извиняюсь, дело было не в ярлыках, ассоциацию .LNK пришлось на дефолт вернуть и всё :)

[url]http://support.kaspersky.ru/viruses/disinfection/10556[/url] пробуйте

[b]thyrex[/b], Спасибо огромное что не забываете и работаете над проблемой! Как только смогу проверить новую версию дешифратора обязательно отпишусь.

Докладываю :)
Этот дешифратор отлично справился с поставленной задачей, не расшифровал всего 5 фоток из более 5000 зашифрованных файлов. Ещё раз огромное спасибо всем!

[quote="pelsh;1175192"]не расшифровал всего 5 фоток из более 5000 зашифрованных файлов[/quote]Размер файлов какой?

например 4.78 Мб , файл прикрепил на всякий...

И чуть не забыл, как мне удалить все файлы [B]ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt[/B] одним махом, а то они в каждой папке с зашифрованными файлами по всей системе, а по одному удалять как-то не айс, может батник как-то создать или другим каким-нибудь методом можно?

Архив битый похоже

Что значит битый? Только что скачал и разархивировал, внутри зашифрованный файл, я спецом его в архив засунул, так не заливалось на форум

Размер файла во вложении 5 килобайт :) Сам файл забит нулями. Потому и не расшифровался

Точно, я как-то не догадался в хексе глянуть, ну и фиг с ними тогда, и так я доволен результатом :D
А как на счёт [QUOTE]И чуть не забыл, как мне удалить все файлы ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt одним махом, а то они в каждой папке с зашифрованными файлами по всей системе, а по одному удалять как-то не айс, может батник как-то создать или другим каким-нибудь методом можно?[/QUOTE]

[b]pelsh[/b], поиск по имени файла и потом удалить все найденные, не вариант?

[b]regist[/b], туплю :suicide2:
тему можно закрывать

Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]