IШифровальщик system32x Помогите

[mozgo]

** All your files have been encrypted **
*** PLEASE READ THIS ***
**** IF YOU WANT TO GET ALL YOUR FILES BACK ****
__________________________________________________ ____________________________
| ATTENTION |
| * Do not rename encrypted files. |
| * Do not try to decrypt your data using third party software, this can |
| result in complete data loss. |
|_________________________________________________ _____________________________|

Send us email with your personal encryption KEY.
This email will be as confirmation your are ready to pay for decryption key.
After payment, we send you the decryption tool, that decrypt all your files.

Before paying you can send 2 file for free decryption. The total size of file
must be less than 1Mb (non archived), and files should not contain valuable
information (backups, databases, large excel-word sheets, etc.)

CONTACT US:
[email protected]
[email protected]

ADDITIONAL CONTACTS:
[email protected]
[email protected]
[email protected]

------------------------------------- KEY -------------------------------------
ZXV5S6YBVMVLN3X3YW4D5DIQYLUE6JV6MYDRJF7WVJPNZJMR52 5WTEBCEZEQHSV3SLK2NPKSTWVXCPOQ
GJ4YYCA32EZOTEV25R62OQLQAWDZJPTHCBSBVTLL2SCZB54GD7 CQISGQML6DOLOIM4I7UWQHHJJLRACN
TKHOB7O7MINQODRRF5M4TOTXJI5AVD3YEQPMSTW32JH4VU6PXA 2IG376VYHA5V3EPR7Y4PEKK3LM7FAL
SZU56XAT4X6WLEAIPZ2TFTUWJBNIHIQDTKADH6QUJVNA7KGNPK WLCIB3LNC6M7WTDPZ535ZQYLXNRVBX
RW6MOCOE3E76ML42OM35HDU2WWAE2LBRXCAMJ25OE2TWXFOOLA NPRSZWYA47XL4YQ3CARHOO7KDR4ISZ
VUERUFQXT22XEZ3PUG77T4L56DYTDJVSPWIT4P3JDO37ZBMOAG X4AEUQJATFLLBP5BE2JHFZBLCXX7GJ
6H322Y53PXYCB4MNVE3K63YTR5EEN464ESBD2QUXCR2Y3XRWY6 PUX3IKKLJUWWJK3DAPAA4B5DANYZJV
DNU7QOHI5YFX5IC6PYW5HHWMFR46CJEUOEBVAZYCSMNWXPOJHR DG75AUZHW4GEVDGTN6X7TYQTTGUDSS
E2XH4XODSXUVDFAGJ3QCUK6SEOW33BOTSQBBIHSV6L3Q2LMRDA 5XLXHUO3562HBPKSKWEXVNYHGT4UDO
46M6ATYJU3V7AUELKFSYL57T6QUL6H37JDD7ICZSO6V5GFOLVM WLXIO4WJRKNYUXOMXWQSZILVSAFPFA
LCUXG2B2IJRJXCSHLGCA=
-----------------------------------------------------------------------------

[Info_bot]

Уважаемый(ая) mozgo, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ из папки Autologger

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\sujftvrt\ribjvswi.exe','');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sujftvrt.lnk','');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\sujftvrt\ribjvswi.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Opera scheduled Autoupdate 1765637818','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[mozgo]

новые логи

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[mozgo]

файлы FRST.txt и Addition.txt

[mozgo]

Скажите ,а когда будет ответ

[thyrex]

1. Выделите следующий код:

Код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.D0169387EB562C92B2D5 [2019-04-24] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.D0169387EB562C92B2D5 [2019-04-24] () [File not signed]
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Handler: osf-roaming.16 - No CLSID Value
Handler: osf.16 - No CLSID Value
2019-04-24 09:38 - 2019-04-24 09:38 - 000002265 _____ C:\Users\Администратор\Desktop\HOW TO BACK YOUR FILES.TXT
2019-04-24 09:32 - 2019-04-24 09:32 - 000002265 _____ C:\Users\Администратор\Downloads\HOW TO BACK YOUR FILES.TXT
2019-04-24 08:36 - 2019-04-24 08:36 - 000002265 _____ C:\Users\Администратор\AppData\Local\HOW TO BACK YOUR FILES.TXT
2019-04-24 08:36 - 2019-04-24 08:36 - 000000980 ____H C:\Users\Администратор\AppData\Local\Apps\.D0169387EB562C92B2D5
2019-04-24 08:19 - 2019-04-24 08:19 - 000000980 ____H C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\.D0169387EB562C92B2D5
2019-04-24 08:16 - 2019-04-24 08:16 - 000002265 _____ C:\Users\Администратор\HOW TO BACK YOUR FILES.TXT
2019-04-24 08:16 - 2019-04-24 08:16 - 000000980 ____H C:\Users\Администратор\Downloads\.D0169387EB562C92B2D5
2019-04-24 08:16 - 2019-04-24 08:16 - 000000980 ____H C:\Users\Администратор\Documents\.D0169387EB562C92B2D5
2019-04-24 08:16 - 2019-04-24 08:16 - 000000980 ____H C:\Users\Администратор\Desktop\.D0169387EB562C92B2D5
2019-04-24 08:16 - 2019-04-24 08:16 - 000000980 ____H C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\.D0169387EB562C92B2D5
2019-04-24 08:16 - 2019-04-24 08:16 - 000000980 ____H C:\Users\Администратор\AppData\Roaming\.D0169387EB562C92B2D5
2019-04-24 08:16 - 2019-04-24 08:16 - 000000980 ____H C:\Users\Администратор\AppData\Local\.D0169387EB562C92B2D5
2019-04-24 08:16 - 2019-04-24 08:16 - 000000980 ____H C:\Users\Администратор\AppData\.D0169387EB562C92B2D5
2019-04-24 08:08 - 2019-04-24 08:08 - 000000980 ____H C:\ProgramData\Microsoft\Windows\Start Menu\Programs\.D0169387EB562C92B2D5
2019-04-24 08:07 - 2019-04-24 08:07 - 000000980 ____H C:\Users\Администратор\AppData\Roaming\.D0169387EB562C92B2D5
2019-04-24 08:07 - 2019-04-24 08:07 - 000000980 ____H C:\Users\Администратор\AppData\.D0169387EB562C92B2D5
2019-04-24 08:07 - 2019-04-24 08:07 - 000000980 ____H C:\Users\Администратор\.D0169387EB562C92B2D5
2019-04-24 08:07 - 2019-04-24 08:07 - 000000980 ____H C:\Users\Все пользователи\.D0169387EB562C92B2D5
2019-04-24 08:07 - 2019-04-24 08:07 - 000000980 ____H C:\Users\Администратор\.D0169387EB562C92B2D5
2019-04-24 08:07 - 2019-04-24 08:07 - 000000980 ____H C:\Users\Public\Documents\.D0169387EB562C92B2D5
2019-04-24 08:07 - 2019-04-24 08:07 - 000000980 ____H C:\Users\Public\Desktop\.D0169387EB562C92B2D5
2019-04-24 08:07 - 2019-04-24 08:07 - 000000980 ____H C:\Users\Public\.D0169387EB562C92B2D5
2019-04-24 08:07 - 2019-04-24 08:07 - 000000980 ____H C:\Users\GLCache\.D0169387EB562C92B2D5
2019-04-24 08:07 - 2019-04-24 08:07 - 000000980 ____H C:\Users\Default\.D0169387EB562C92B2D5
2019-04-24 08:07 - 2019-04-24 08:07 - 000000980 ____H C:\Users\�������������\AppData\Local\.D0169387EB562C92B2D5
2019-04-24 08:07 - 2019-04-24 08:07 - 000000980 ____H C:\Users\�������������\AppData\.D0169387EB562C92B2D5
2019-04-24 08:07 - 2019-04-24 08:07 - 000000980 ____H C:\Users\�������������\.D0169387EB562C92B2D5
2019-04-24 08:07 - 2019-04-24 08:07 - 000000980 ____H C:\Users\.D0169387EB562C92B2D5
2019-04-24 08:07 - 2019-04-24 08:07 - 000000980 ____H C:\ProgramData\Microsoft\Windows\Start Menu\.D0169387EB562C92B2D5
2019-04-24 08:07 - 2019-04-24 08:07 - 000000980 ____H C:\ProgramData\.D0169387EB562C92B2D5
2019-04-24 08:07 - 2019-04-24 08:07 - 000000980 ____H C:\Program Files\.D0169387EB562C92B2D5
2019-04-24 08:07 - 2019-04-24 08:07 - 000000980 ____H C:\Program Files (x86)\.D0169387EB562C92B2D5
2019-04-24 08:07 - 2019-04-24 08:07 - 000000980 ____H C:\.D0169387EB562C92B2D5
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [209]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815 [209]
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[mozgo]

лог-файл

[thyrex]

Больше помочь нечем

[mozgo]

А какое тогда решение вопроса? Переустановка винды?

[thyrex]

Переустановка не поможет расшифровать файлы. Но это Ваше право.

[mozgo]

Файлы я некоторые восстановлю,главное чтобы на компе не осталось шифровальшика.Это реально

- - - - -Добавлено - - - - -

[thyrex]

Активного шифратора нет

[CyberHelper]

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

• =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
• =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 0
• =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
  =E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
  =E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB