Поймали шифровальщика. Файлы зашифрованы в расширении .USA

[Kubichek]

Здравствуйте! Поймали шифровальщика. Данные зашифрованы в расширении .USA. Сможем расшифровать? Помогите пожалуйста

[Info_bot]

Уважаемый(ая) Kubichek, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

С расшифровкой скорее всего не поможем.

Знакома ли Вам?

Код:

C:\Users\МурнаевН\Desktop\backup.bat

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\expIorer.exe    ->    (PE EXE)
O4 - HKLM\..\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\Администратор\AppData\Roaming\Info.hta"
O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta"
O4 - HKLM\..\Run: [expIorer.exe] = C:\Users\Администратор\AppData\Roaming\expIorer.exe
O4 - Startup other users: C:\Users\Полина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\expIorer.exe    ->    (PE EXE)
O4 - User Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4 - User Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\expIorer.exe    ->    (PE EXE)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\expIorer.exe', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\expIorer.exe', '');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\expIorer.exe', '');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\expIorer.exe', '');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

После выполнения скрипта перезагрузите сервер вручную.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.