Зашифрованы файлы

[beesin]

Добрый день.
Шифровальщик зашифровал файлы на ПК. Файлы стали вида: [email protected]_9DtbO

Была проведена полная проверка Авастом (лицензия), DrWeb CureIT (в безопасном режиме).
Сделаны анализы системы по инструкции. Файлы прилагаю.

Образцы зашифрованных файлов:
.jpg .xls

Заранее благодарен за помощь!

[Info_bot]

Уважаемый(ая) beesin, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

Код:

O4 - S-1-5-18 Startup: КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html (User 'SYSTEM')
O4 - .DEFAULT Startup: КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html (User 'Default user')
O4 - .DEFAULT User Startup: КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html (User 'Default user')
O4 - Startup: КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
O4 - Global Startup: КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html

Сделайте новый лог HiJackThis.

[thyrex]

+ Сделайте лог полного сканирования МВАМ

[beesin]

Все сделал. Логи HiJackThis и MBAM прикладываю.

[thyrex]

Содержимое папки C:\Documents and Settings\manager\Application Data\02022015 заархивируйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

После этого папку удалите

[beesin]

Что делать с результатами сканирования MBAM? Я его так и не закрывал - он просит предпринять какие-либо действия.
mbam.JPG

Результат загрузки

Файл сохранён как 150204_025802_02022015_54d1527a77caf.zip
Размер файла 309280
MD5 3831183cfcdb753f20cd37f373ec7643
Файл закачан, спасибо!

[mike 1]

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Quarantine" ("Карантин" - смотрите, что удаляете).

Код:

Registry Values: 1
PUM.LowRiskFileTypes, HKU\S-1-5-21-2261502044-3842504004-2394436941-3162-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LowRiskFileTypes, .js;.zip;.rar;.nfo;.txt;.exe;.bat;.com;.reg;.msi;.hta;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.ade;.adp;.bas;.chm;.cmd;.cpl;.crt;.dll;.hlp;.inf;.ins;.isp;.jse;.lnk;.mdb;.mde;.msc;.msp;.mst;.pcd;.pif;.scr;.sct;.shs;.url;.vb;.vbe;.vbs;.wsc;.wsf;.wsh, , [9db48374a5e4eb4b1ff10392f1128c74]

Folders: 1
Rogue.Multiple, C:\Documents and Settings\manager\Application Data\02022015, , [90c1e51296f3e650f797e65336cdd828], 

Files: 6
Spyware.Password, c:\documents and settings\manager\application data\02022015\windows.exe, , [4f028f68c2c7a5912558e5bed72e22de], 
Spyware.Password, c:\system volume information\_restore{4bb961d3-3f1b-4252-bc86-1ee988b68189}\rp37\a0009806.exe, , [bd946d8a7f0a4beb007d356e91747987], 
Rogue.Multiple, C:\Documents and Settings\manager\Application Data\02022015\files.list, , [90c1e51296f3e650f797e65336cdd828], 
Rogue.Multiple, C:\Documents and Settings\manager\Application Data\02022015\msg.html, , [90c1e51296f3e650f797e65336cdd828], 
Rogue.Multiple, C:\Documents and Settings\manager\Application Data\02022015\??????_?*???????˜?¤?*?????????¬_?¤???????«.html, , [90c1e51296f3e650f797e65336cdd828],

Обратите внимание! Для остальных объектов выберете действие "Ignore" ("Игнорировать").

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения вредоносные программы в карантинах не обнаружены