Зашифрованы документы и фото

[kolpak59]

[QUOTE=thyrex;1205704]запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

Что именно запаковать и как это сделать?

- - - - -Добавлено - - - - -

В МВАМ, для удаления открывать старый отчёт, или делать новое сканирование, а потом удалять строки?

- - - - -Добавлено - - - - -

запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы


Удалите в МВАМ только указанные ниже записи

Код:

Обнаруженные ключи в реестре:  1
HKLM\SOFTWARE\JetSwap (Adware.JetSwap) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: 쉤즚>剽뻅婖덂霕Ộ�맒柎�⇤䑳ګⰬ�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃艫솷圇^䲏丟꽂䃴丷Ẑ‵䌴惽뭏㛮�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃禘⌺堾ᬻ㽪岈酻�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃�ⷀ࡙捃谖龭ೀ -> Действие не было предпринято.

Обнаруженные файлы:  12
C:\Users\Евгений\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QK3U0R9Q\27[1].exe (Trojan.Agent.GNI) -> Действие не было предпринято.
C:\Users\Евгений\AppData\Local\Temp\114504.exe (Trojan.Agent.GNI) -> Действие не было предпринято.
G:\WMmailAutoTask\WMmailAutoTask.exe (Worm.Brontok) -> Действие не было предпринято.
G:\ПРОГРАММЫ\safesurf.exe (Trojan.Downloader) -> Действие не было предпринято.
G:\ПРОГРАММЫ\f\cg.exe (PUP.BitMiner) -> Действие не было предпринято.

Указанные записи удалил. насчёт карантина не понял. Где и что паковать.

[thyrex]

Ну раз удалили, то уже и не пришлете ничего

Удалите МВАМ

С расшифровкой не поможем

[kolpak59]

Ну раз удалили, то уже и не пришлете ничего

Удалите МВАМ

С расшифровкой не поможем

А если записи восстановить? Или хотя бы дайте совет, что ещё предпринять?

[thyrex]

Есть подозрение, что шифровальщика среди удаленных файлов все-равно не было.

Пришлите пример зашифрованного файла. Хоть полюбопытствую на внутренности

[kolpak59]

В МВАМ, открываю карантин, эти записи показаны - http://prntscr.com/5maxju

- - - - -Добавлено - - - - -

Вот файлы - в открытом виде не загружаются, только после архивирования.

- - - - -Добавлено - - - - -

Неужели это всё и НИЧЕМ помочь нельзя, даже если платно?

[thyrex]

Увы, шифруется весь файл.

Без оригинального дешифратора от злоумышленников не обойтись

[kolpak59]

При первом запуске компьютера, до обращения на вирусинфо, было вот такое сообщение

[thyrex]

Думаю, это новая версия http://virusinfo.info/showthread.php?t=163693

[kolpak59]

Увы, шифруется весь файл.

Без оригинального дешифратора от злоумышленников не обойтись

Где теперь их искать, злоумышленников!?

[thyrex]

В сообщении на скриншоте все есть для связи

[kolpak59]

Спасибо за уделённоё внимание. Принял решение: - зашифрованные файлы отложить "в сторонку", до лучших времён(убедительная просьба, если вдруг что-то появится, способное помочь в решении проблеммы - известите меня любым способом). Согласен на платное решение вопроса. А пока для ГАРАНТИИ, "сношу" windows и переустанавливаю с "чистого" образа!

- - - - -Добавлено - - - - -

В сообщении на скриншоте все есть для связи

Я пробовал туда"ходить". Для начала требуется установить ИХНИЙ браузер, ну а дальше я и читать не стал. Хватит, ДОУСТАНАВЛИВАЛСЯ!

- - - - -Добавлено - - - - -

Есть одна "странность". Заставка рабочего стола из фото зашифровалась, а системные "обои" - работают!

[mike 1]

Переустанавливать систему не рекомендуются т.к. полностью затираются все следы. Это я все к тому, что если будет найдено решение, то может что-то понадобится со старой системы помимо самих файлов.

[kolpak59]

Я всё же попробовал "сходить" по адресу из скрина. Вот что получилось - http://prntscr.com/5mec2d - ключи Invalid.На этой системе, что-то страшновато заводить документы по новой. Вдруг какая "бяка" зацепилась где-нибудь. Документы я конечно восстановлю, т.е., создам новые, а вот альбом жалко. Фотохроника за ВЕСЬ год.

А если эту систему заархивировать (образ), и в случае надобности, снова установить?

[mike 1]

Я всё же попробовал "сходить" по адресу из скрина. Вот что получилось

Вы ключ не полностью скопировали.

Вдруг какая "бяка" зацепилась где-нибудь.

Компьютер уже почистили от вирусов.

А если эту систему заархивировать (образ), и в случае надобности, снова установить?

Это можно сделать.

[kolpak59]

Ключ я вводил вручную - все три строки сразу, и по отдельности. Результат один и тот же. Просто скрин отправил первый попавшийся, что бы показать результат после ввода.

[kolpak59]

Сделал архив в "парагоне".

- - - - -Добавлено - - - - -

Вдруг какая "бяка" зацепилась где-нибудь.
Компьютер уже почистили от вирусов.

http://prntscr.com/5mrhk4 - это "выскочило", уже после лечения. 31.12.2014. время- 0:30
Что это такое может быть?

- - - - -Добавлено - - - - -

браузер(ни один), не открывает страницу входа в сбербанк-онлайн. С другого компьютера захожу без проблем.

[thyrex]

Сделайте лог ComboFix

[kolpak59]

отправляю

- - - - -Добавлено - - - - -

В программах и компонентах обнаружил вот такую прогу - http://prntscr.com/5myabt - удалить не получается. Как это можно сделать?

- - - - -Добавлено - - - - -

скачал SpyHunter, вот что из этого вышло- http://prntscr.com/5myd1v - что это за угрозы?

- - - - -Добавлено - - - - -

скачал SpyHunter, вот что из этого вышло- http://prntscr.com/5myd1v - что это за угрозы?
конечный результат сканирования - http://prntscr.com/5myq1l

[thyrex]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С

Код:

KillAll::

File::
c:\windows\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
c:\program files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys


Driver::

Folder::
c:\users\Евгений\AppData\Roaming\AnyProtectEx
c:\programdata\IePluginServices
c:\users\Евгений\AppData\Roaming\mystartsearch
c:\program files\globalUpdate
c:\users\Евгений\AppData\Local\globalUpdate
c:\program files\Microsoft Data

Registry::
[-HKLM\~\startupfolder\C:^Users^Евгений^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^System Check.lnk]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eTranslator Update]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Timestasks]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ZaxarLoader]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zJlkQYnSGVaWTlmMkfiRPUIciG]


FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[kolpak59]

сделал