Зашифровались и заорхивировались файлы на ноутбуке. [Trojan.Win32.Agent.idxa, not-a-virus:WebToolbar.Win32.Agent.bgn ]

[roman_69]

По почте пришло письмо, при открытии которого произошло заражение системы и архивирование файлов с паролем. так же создался файл с cодержимым:
Файлызапакованыв архивыс паролем.
Стоимостьразархивации 10.000 рублей.
Дляраспаковки файлов прилите два файла на e-mail: [email protected]
- файл которыи Высейчас читаете;
- один заархивированныи файл неболього размера (не болье 1 мегабайта);
В ответ на Вае письло придет оригинальмыи файл и инструкцияпо оплате.
(Оригинальмыи файл яблядтсяподтверждением того, что возможно вернутьвсе данныд в исходное состоямие)
После оплатыВам придет парольна архивыи программа, котораяраспакует все файлы-
Ответ на Вае письло придет в течение 24 часов.
Если ответ не приходит более 24 часов прилите два файла на резервнуюпочту: [email protected]

Помогите ,пожалуйста, расшифровать файлы. будем рады любой помощи

[Info_bot]

Уважаемый(ая) roman_69, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Дина\applic~1\digitalsites\updateproc\updatetask.exe','');
 QuarantineFile('C:\Users\Дина\appdata\roaming\digitalsites\updateproc\updatetask.exe','');
 QuarantineFile('C:\Users\Дина\appdata\local\systemdir\setsearchm.exe','');
 QuarantineFile('C:\Users\Дина\AppData\Local\Microsoft\Windows\Vkmusicdownloader.exe','');
 QuarantineFile('C:\Users\Дина\AppData\Local\SystemDir\nethost.exe','');
 DelBHO('{3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6}');
 QuarantineFile('C:\Program Files (x86)\VK Downloader\Toolbar32.dll','');
 QuarantineFile('C:\Windows\Test.bat','');
 QuarantineFile('C:\Users\F297~1\AppData\Local\Temp\NETBE2~3.EXE','');
 QuarantineFile('C:\Users\F297~1\AppData\Local\Temp\NETBE2~2.EXE','');
 QuarantineFile('C:\windows\system32\drivers\{e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64.sys','');
 QuarantineFile('C:\windows\system32\drivers\{2fb2b93a-d824-4963-962b-e98da201096d}Gw64.sys','');
 QuarantineFile('C:\windows\system32\drivers\{128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64.sys','');
 DeleteService('{e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64');
 DeleteService('{2fb2b93a-d824-4963-962b-e98da201096d}Gw64');
 DeleteService('{128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64');
 TerminateProcessByName('c:\program files (x86)\vk downloader\basement\extensionupdaterservice.exe');
 QuarantineFile('c:\program files (x86)\vk downloader\basement\extensionupdaterservice.exe','');
 QuarantineFile('c:\users\Дина\desktop\pandaunransom.exe','');
 TerminateProcessByName('c:\users\f297~1\appdata\local\temp\netbe26.tmp.exe');
 QuarantineFile('c:\users\f297~1\appdata\local\temp\netbe26.tmp.exe','');
 DeleteFile('c:\users\f297~1\appdata\local\temp\netbe26.tmp.exe','32');
 DeleteFile('c:\program files (x86)\vk downloader\basement\extensionupdaterservice.exe','32');
 DeleteFile('C:\windows\system32\drivers\{128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64.sys','32');
 DeleteFile('C:\windows\system32\drivers\{2fb2b93a-d824-4963-962b-e98da201096d}Gw64.sys','32');
 DeleteFile('C:\windows\system32\drivers\{e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64.sys','32');
 DeleteFile('C:\Users\F297~1\AppData\Local\Temp\NETBE2~2.EXE','32');
 DeleteFile('C:\Users\F297~1\AppData\Local\Temp\NETBE2~3.EXE','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','GoSearch_startsetsearch_chrome');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','GoSearchRemoveAppoldopera');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','GoSearchRemoveAppiexplore');
 DeleteFile('C:\Program Files (x86)\VK Downloader\Toolbar32.dll','32');
 DeleteFile('C:\Users\Дина\AppData\Local\SystemDir\nethost.exe','32');
 DeleteFile('C:\Users\Дина\AppData\Local\Microsoft\Windows\Vkmusicdownloader.exe','32');
 DeleteFile('C:\windows\system32\Tasks\Vkmusicdownloader','64');
 DeleteFile('C:\windows\system32\Tasks\nethost task','64');
 DeleteFile('C:\Users\Дина\appdata\local\systemdir\setsearchm.exe','32');
 DeleteFile('C:\Users\Дина\appdata\roaming\digitalsites\updateproc\updatetask.exe','32');
 DeleteFile('C:\Users\Дина\applic~1\digitalsites\updateproc\updatetask.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;	
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT

[roman_69]

все сделал

[thyrex]

Пофиксите в HiJack

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://2inf.net/?utm_source=startpage12
O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file)
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file)

Поместите в карантин МВАМ всё найденное

Удалите вручную

C:\Program Files (x86)\VK Downloader
C:\xwintemp
C:\Users\Дина\AppData\Roaming\DSite
C:\Users\Дина\AppData\Roaming\DigitalSites
C:\Program Files (x86)\Mobogenie

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 10
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\vk downloader\toolbar32.dll - not-a-virus:WebToolbar.Win32.Agent.bgn
  2. c:\users\f297~1\appdata\local\temp\netbe26.tmp.exe - Trojan.Win32.Agent.idxa ( AVAST4: Win32:Agent-AVKP [Trj] )
  3. c:\users\дина\appdata\local\systemdir\nethost.exe - Trojan-Dropper.Win32.Agent.olpl ( DrWEB: Trojan.DownLoader11.55611, AVAST4: Win32:Dropper-gen [Drp] )
  4. c:\users\дина\appdata\local\systemdir\setsearchm.e xe - Trojan.Win32.Agent.idxa ( AVAST4: Win32:Agent-AVKP [Trj] )
  5. c:\users\дина\appdata\roaming\digitalsites\updatep roc\updatetask.exe - not-a-virus:AdWare.Win32.DealPly.of ( BitDefender: Application.Generic.917055 )
  6. c:\users\дина\appdata\roaming\digita~1\update~1\up date~1.exe - not-a-virus:AdWare.Win32.DealPly.of ( BitDefender: Application.Generic.917055 )
  7. c:\users\дина\applic~1\digitalsites\updateproc\upd atetask.exe - not-a-virus:AdWare.Win32.DealPly.of ( BitDefender: Application.Generic.917055 )
  8. c:\users\дина\applic~1\digita~1\update~1\update~1. exe - not-a-virus:AdWare.Win32.DealPly.of ( BitDefender: Application.Generic.917055 )