Закодированные файлы

[dostoevskiy]

Добрый день! Поймал вирус, который зашифровал на компе документы и изображения (ссылка на файлы http://files.mail.ru/038C1FF37284495A8E9F044F0B1C5). При загрузке всплывает окно с изображением сомалийских пиратов и текст с предложением заплатить денег за разблокировку файлов. Просьба помочь: можно ли что-то сделать, чтобы разблокировать зашифрованные файлы и если "да", то как? Заранее спасибо.
Вложение 459498Вложение 459499Вложение 459500

[Info_bot]

Уважаемый(ая) dostoevskiy, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\843E~1\AppData\Local\Temp\3fc1d.exe','');
 QuarantineFile('C:\Users\Никита\AppData\Roaming\Microsoft\Windows\Templates\DisplaySwitch.exe','');
 QuarantineFile('C:\Users\Никита\AppData\Local\Google\Update\gupdate.exe','');
 DeleteFile('C:\Users\843E~1\AppData\Local\Temp\2355578FdOh','32');
 DeleteFile('C:\Users\Никита\AppData\Local\Google\Update\gupdate.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NvUpdService');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','2355718');
 DeleteFile('C:\Users\843E~1\AppData\Local\Temp\8827406aq','32');
 DeleteFile('C:\Windows\Tasks\At1.job','32');
 DeleteFile('C:\Users\843E~1\AppData\Local\Temp\3fc1d.exe','32');
 DeleteFile('C:\Windows\Tasks\hv1oc.job','32');
 DeleteFile('C:\Windows\system32\Tasks\At1','32');
 DeleteFile('C:\Windows\Tasks\hv1oc.bak','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[dostoevskiy]

Карантин отправлен, новые логи во вложении.

[thyrex]

Удалите в МВАМ все, кроме

Код:

C:\Users\Никита\AppData\Local\Temp\ICReinstall_ZipOpenerSetup.exe (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
C:\Users\Никита\Documents\Zona Downloads\КОМПАС-3D V13\KOMPAS-3D_V13_antiHASP_v1.0.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
C:\Windows\Branding\Basebrd\ru-RU\Patch_basebrd.dll.mui.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Windows\ControlCenter\Distrib\RemoveWAT.exe (HackTool.Wpakill) -> Действие не было предпринято.
E:\Программы\Nero 7\Crack\[email protected]_134 (Malware.Packer.Gen) -> Действие не было предпринято.

[dostoevskiy]

Лог с MBAM

[thyrex]

Плохого не видно

Дешифратором пока никто не поделился

[dostoevskiy]

Жаль...но все равно спасибо!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения вредоносные программы в карантинах не обнаружены