Здравствуйте! Помогите с проблемой: Шифровальщик .crypted000007

[midavchik]

Здравствуйте! Помогите, пожалуйста, с проблемой: Шифровальщик .crypted000007
В первый раз столкнулись с такой проблемой, не знаем, что делать.
Спасибо!!!

[Info_bot]

Уважаемый(ая) midavchik, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

По большому счету сами виноваты в том, что произошло. На систему обновления не ставите, антивирус используете к которому уже базы не выпускают. Вот собственно и досиделись.

Антивирус Касперского 6.0 для Windows Workstations (HKLM\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1424 - Лаборатория Касперского)

Снят с поддержки. Переходите на KES 10.

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
   
   Код:

   CreateRestorePoint:
   CloseProcesses:
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {0f1ed3cf-5daa-11df-8f13-001966e0464f} - G:\AKON\BYONC\AKON.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {17b87f31-b72e-11df-8f5f-001966e0464f} - H:\DIRI\FILE.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {2706bc8c-38ac-11df-8ee1-001966e0464f} - G:\LaunchU3.exe -a
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {2f040e9e-5f52-11df-8f17-001966e0464f} - G:\DIRI\FILE.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {32951c14-4dc2-11df-8efc-001966e0464f} - tmp.folder/restore.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {3ded6049-4b77-11df-8ef8-001966e0464f} - G:\tmp.folder/restore.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {3df0a761-4ea5-11df-8eff-001966e0464f} - G:\
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {3df0a762-4ea5-11df-8eff-001966e0464f} - G:\tmp.folder/restore.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {5a9e04a5-fb81-11df-8f87-001966e0464f} - G:\
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {5a9e04a6-fb81-11df-8f87-001966e0464f} - G:\zalio\\nisi.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {60acf213-6a39-11df-8f2c-001966e0464f} - G:\zalio\\nisi.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {77532277-8764-11e0-9005-001966e0464f} - G:\TAMBA\\\\\\\\\\LAMBA.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {84b69322-8334-11df-8f54-001966e0464f} - G:\DIRI\FILE.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {9afdd25e-7b97-11e0-8ffd-001966e0464f} - G:\TAMBA\\\\\\\\\\LAMBA.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {9c5fa3d0-6e2e-11df-8f34-001966e0464f} - G:\DIRI\FILE.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {a02f7186-86b5-11e0-9003-001966e0464f} - G:\
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {a53c6248-510a-11df-8f00-001966e0464f} - G:\tmp.folder/restore.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {a53c624d-510a-11df-8f00-001966e0464f} - G:\tmp.folder/restore.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {a59cb419-fc39-11df-8f88-001966e0464f} - F:\
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {aa43452e-62fd-11df-8f1b-001966e0464f} - G:\DOBRABRE//mlada.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {aa434530-62fd-11df-8f1b-001966e0464f} - H:\DIRI\FILE.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {aa434538-62fd-11df-8f1b-001966e0464f} - G:\DIRI\FILE.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {aa434539-62fd-11df-8f1b-001966e0464f} - G:\DIRI\FILE.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {aa43453c-62fd-11df-8f1b-001966e0464f} - G:\X\DELETED\MarCh3.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {abb42235-58f6-11df-8f0e-001966e0464f} - G:\DIRI\FILE.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {b9541bcd-483d-11df-8ef6-001966e0464f} - F:\zalio\\nisi.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {ba6a54e2-ebbd-11df-8f7d-001966e0464f} - G:\zalio\\nisi.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {bac193ff-541d-11df-8f08-001966e0464f} - G:\tmp.folder/restore.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {bb74dcac-7d15-11df-8f4a-001966e0464f} - G:\DIRI\FILE.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {c1b9ae4d-3d3d-11df-8ee6-001966e0464f} - G:\tmp.folder/restore.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {c87d86a5-6d2c-11df-8f31-001966e0464f} - G:\DIRI\FILE.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {c87d86a7-6d2c-11df-8f31-001966e0464f} - G:\DIRI\FILE.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {c87d86aa-6d2c-11df-8f31-001966e0464f} - G:\DIRI\FILE.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {cb22db8e-51c2-11df-8f02-001966e0464f} - G:\tmp.folder/restore.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {d21c8c41-3182-11df-8eda-001966e0464f} - G:\DIRI\FILE.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {da4060f4-d67d-11df-8f79-001966e0464f} - G:\zalio\\nisi.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {e1942687-7540-11df-8f43-001966e0464f} - G:\DIRI\FILE.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {e1942688-7540-11df-8f43-001966e0464f} - G:\DIRI\FILE.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {e59025ac-4221-11df-8eee-001966e0464f} - G:\TEMP/bracacelika.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {e974a5df-f398-11df-8f83-001966e0464f} - F:\
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {efb15001-4394-11df-8ef0-001966e0464f} - G:\X\DELETED\MarCh3.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {fd21696d-1fbe-11e0-8fb6-001966e0464f} - G:\
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {fd21696e-1fbe-11e0-8fb6-001966e0464f} - zalio\\nisi.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\MountPoints2: {fd21696f-1fbe-11e0-8fb6-001966e0464f} - G:\zalio\\nisi.exe
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\...\Winlogon: [Shell] C:\WINDOWS\explorer.exe [1032704 2006-03-02] (Корпорация Майкрософт) <==== ATTENTION
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/search
   HKU\S-1-5-21-796845957-1383384898-725345543-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/search
   HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <==== ATTENTION
   SearchScopes: HKU\S-1-5-21-796845957-1383384898-725345543-1003 -> DefaultScope {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
   SearchScopes: HKU\S-1-5-21-796845957-1383384898-725345543-1003 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
   2017-10-04 16:46 - 2017-10-04 16:46 - 003932214 _____ C:\Documents and Settings\Student\Application Data\67DE883567DE8835.bmp
   2017-10-04 16:46 - 2017-10-04 16:46 - 000004178 _____ C:\Documents and Settings\Student\Рабочий стол\README9.txt
   2017-10-04 16:46 - 2017-10-04 16:46 - 000004178 _____ C:\Documents and Settings\Student\Рабочий стол\README8.txt
   2017-10-04 16:46 - 2017-10-04 16:46 - 000004178 _____ C:\Documents and Settings\Student\Рабочий стол\README7.txt
   2017-10-04 16:46 - 2017-10-04 16:46 - 000004178 _____ C:\Documents and Settings\Student\Рабочий стол\README6.txt
   2017-10-04 16:46 - 2017-10-04 16:46 - 000004178 _____ C:\Documents and Settings\Student\Рабочий стол\README5.txt
   2017-10-04 16:46 - 2017-10-04 16:46 - 000004178 _____ C:\Documents and Settings\Student\Рабочий стол\README4.txt
   2017-10-04 16:46 - 2017-10-04 16:46 - 000004178 _____ C:\Documents and Settings\Student\Рабочий стол\README3.txt
   2017-10-04 16:46 - 2017-10-04 16:46 - 000004178 _____ C:\Documents and Settings\Student\Рабочий стол\README2.txt
   2017-10-04 16:46 - 2017-10-04 16:46 - 000004178 _____ C:\Documents and Settings\Student\Рабочий стол\README10.txt
   2017-10-04 16:46 - 2017-10-04 16:46 - 000004178 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
   2017-10-04 16:46 - 2017-10-04 16:46 - 000004178 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
   2017-10-04 16:46 - 2017-10-04 16:46 - 000004178 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
   2017-10-04 16:46 - 2017-10-04 16:46 - 000004178 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
   2017-10-04 16:46 - 2017-10-04 16:46 - 000004178 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
   2017-10-04 16:46 - 2017-10-04 16:46 - 000004178 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
   2017-10-04 16:46 - 2017-10-04 16:46 - 000004178 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
   2017-10-04 16:46 - 2017-10-04 16:46 - 000004178 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
   2017-10-04 16:46 - 2017-10-04 16:46 - 000004178 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
   2017-10-04 16:46 - 2017-10-04 16:46 - 000004178 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
   2017-10-04 14:54 - 2017-10-04 14:54 - 000004178 _____ C:\README9.txt
   2017-10-04 14:54 - 2017-10-04 14:54 - 000004178 _____ C:\README8.txt
   2017-10-04 14:54 - 2017-10-04 14:54 - 000004178 _____ C:\README7.txt
   2017-10-04 14:54 - 2017-10-04 14:54 - 000004178 _____ C:\README6.txt
   2017-10-04 14:54 - 2017-10-04 14:54 - 000004178 _____ C:\README5.txt
   2017-10-04 14:54 - 2017-10-04 14:54 - 000004178 _____ C:\README4.txt
   2017-10-04 14:54 - 2017-10-04 14:54 - 000004178 _____ C:\README3.txt
   2017-10-04 14:54 - 2017-10-04 14:54 - 000004178 _____ C:\README2.txt
   2017-10-04 14:54 - 2017-10-04 14:54 - 000004178 _____ C:\README10.txt
   2017-10-04 14:54 - 2017-10-04 14:54 - 000004178 _____ C:\README1.txt
   2017-10-04 14:54 - 2017-10-04 14:54 - 000000000 __SHD C:\Documents and Settings\All Users\Application Data\System32
   2017-10-04 14:43 - 2017-10-09 11:58 - 000000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
   2017-10-04 16:46 - 2017-10-04 16:46 - 003932214 _____ () C:\Documents and Settings\Student\Application Data\67DE883567DE8835.bmp
   MSCONFIG\startupreg: Client Server Runtime Subsystem => "C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe"

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен.
5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

Установите SP3 (может потребоваться активация) + все новые обновления для Windows

Установите Internet Explorer 8 (даже если им не пользуетесь)

[midavchik]

Выкладываю Fixlog

- - - - -Добавлено - - - - -

Виноваты, конечно! Но, увы!

[mike 1]

Антивирус и систему обновляйте. С расшифровкой не поможем. Смените все пароли.

[midavchik]

Антивирус и систему обновляйте. С расшифровкой не поможем. Смените все пароли.

Очень жаль! Какие Вы имеете в виду пароли?
И что порекомендуете делать дальше? Очень важно сохранить данные для нас.

[mike 1]

Почта, аська, скайп, пароли от админки если держите сайт, RDP и т.д.

[midavchik]

Почта, аська, скайп, пароли от админки если держите сайт, RDP и т.д.

Понятно. Спасибо. Но что делать, если данные нам нужны? Как спасти их? Эти злоумышленники сами то могут расшифровать? Извините за назойливость.

[mike 1]

У злоумышленников есть всё необходимое для расшифровки. Платить или нет злоумышленникам - решайте сами. Но лично я не поддерживаю такое решение, так как оно стимулирует злоумышленников на новые заражения.