все ваши файлы зашифрованы [email protected] [not-a-virus:RiskTool.Win32.BitCoinMiner.dgj ]

[Rentast]

При открытии Excel файлов сначала открывается сообщение что все ваши файлы зашифрованы, следом открывается нужный файл. Т.е. шифрование файлов не было, но эти сообщения мешают работать. Когда их закрываешь Excel спрашивает сохранить файл "ВСЕ_ВАШИ_ФАЙЛЫ_ЗАШИФРОВАНЫ.html"

[Info_bot]

Уважаемый(ая) Rentast, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\RECEPTION\adobechecker.exe','');
 DeleteFile('C:\Users\RECEPTION\adobechecker.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Updater Startup Utility','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи по правилам



Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Rentast]

Файл с информацией о шифровании по прежнему открывается.

[thyrex]

Media Buzz (HKLM\...\MediaBuzzV1mode6055) (Version: 1.1 - Media Buzz) <==== ATTENTION
Media Watch (HKLM\...\MediaWatchV1home853) (Version: 1.1 - Media Watch) <==== ATTENTION
Network System Driver (HKLM\...\inethnfd) (Version: 1.0.0.3001 - ) <==== ATTENTION
Trust Media Viewer (HKLM\...\TrustMediaViewerV1alpha510 (Version: 1.1 - Trust Media Viewer) <==== ATTENTION
VuuPC Packages (HKU\S-1-5-21-2452880344-932823467-3910578541-1000\...\VuuPC Packages) (Version: - ) <==== ATTENTION

удалите через Установку программ

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  HKLM\...\Run: [] => [X]
  GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
  AutoConfigURL: [HKLM] => http://santanyr.com/presents/nyear2.roa
  AutoConfigURL: [S-1-5-21-2452880344-932823467-3910578541-1000] => santanyr.com/presents/nyear2.roa
  HKU\S-1-5-21-2452880344-932823467-3910578541-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://ru.msn.com/?ocid=iehp
  BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
  FF NetworkProxy: "autoconfig_url", "https://santanyr.com/presents/nyear.roa"
  FF NetworkProxy: "type", 2
  FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  FF Extension: No Name - C:\Program Files\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2015-03-06]
  CHR HKLM\...\Chrome\Extension: [aknocfmpokkoiglpneohbdckccikfogm] - C:\Program Files\MediaViewV1\MediaViewV1alpha5650\ch\MediaViewV1alpha5650.crx [Not Found]
  CHR HKLM\...\Chrome\Extension: [alabjeagigegpfgebgkgogiopcpgdgop] - C:\Program Files\TrustMediaViewerV1\TrustMediaViewerV1alpha5108\ch\TrustMediaViewerV1alpha5108.crx [Not Found]
  CHR HKLM\...\Chrome\Extension: [fgppengelajgcgoipfopmclmdljeemjo] - C:\Program Files\RichMediaViewV1\RichMediaViewV1release57\ch\RichMediaViewV1release57.crx [Not Found]
  CHR HKLM\...\Chrome\Extension: [fngijoolledmlbkghhoephfkaaogpccj] - C:\Program Files\MediaViewerV1\MediaViewerV1alpha297\ch\MediaViewerV1alpha297.crx [Not Found]
  CHR HKLM\...\Chrome\Extension: [gbpediagfldlbpccmcligkbjjepcaclh] - C:\Program Files\MediaWatchV1\MediaWatchV1home853\ch\MediaWatchV1home853.crx [Not Found]
  CHR HKLM\...\Chrome\Extension: [kojlolfddajddoofmfbaboogkbmgeeed] - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta4646\ch\VideoPlayerV3beta4646.crx [Not Found]
  CHR HKLM\...\Chrome\Extension: [pjhppeglijpjoiggbdhkcncpginnbnjo] - C:\Program Files\MediaViewV1\MediaViewV1alpha3170\ch\MediaViewV1alpha3170.crx [Not Found]
  CHR HKLM\...\Chrome\Extension: [plaannlcobepnafdjphkfphdmbghjieh] - C:\Program Files\MediaBuzzV1\MediaBuzzV1mode6055\ch\MediaBuzzV1mode6055.crx [Not Found]
  S1 nethfdrv; \??\C:\Windows\system32\drivers\nethfdrv.sys [X]
  2015-02-18 17:51 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\RECEPTION\Downloads\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:51 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\RECEPTION\Documents\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:51 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\RECEPTION\AppData\Roaming\Microsoft\Windows\Start Menu\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:49 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\RECEPTION\AppData\Roaming\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\RECEPTION\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\RECEPTION\AppData\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\RECEPTION\AppData\Local\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Public\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Public\Downloads\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default\Downloads\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default\Documents\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default\Desktop\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default\AppData\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default\AppData\Roaming\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default\AppData\Local\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default User\Downloads\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default User\Documents\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default User\Desktop\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default User\AppData\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default User\AppData\Roaming\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default User\AppData\Local\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:47 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:47 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Все пользователи\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:47 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Public\Documents\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:47 - 2015-02-18 17:47 - 00002084 _____ () C:\ProgramData\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:47 - 2015-02-18 17:47 - 00002084 _____ () C:\Program Files\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:47 - 2015-02-18 17:47 - 00002084 _____ () C:\Program Files\Common Files\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
  2015-02-18 17:45 - 2015-03-04 17:35 - 00000000 ____D () C:\Users\RECEPTION\AppData\Roaming\02022015
  2015-02-18 17:48 - 2014-04-25 09:36 - 00000000 __SHD () C:\Users\RECEPTION\AppData\Local\EmieSiteList
  2015-02-18 17:47 - 2014-05-14 09:25 - 00000000 ____D () C:\Program Files\RichMediaViewV1
  2015-02-18 17:47 - 2014-04-28 09:12 - 00000000 ____D () C:\Program Files\MediaBuzzV1
  2015-02-18 17:47 - 2014-03-23 09:25 - 00000000 ____D () C:\Program Files\MediaWatchV1
  2015-02-18 17:47 - 2014-02-28 19:25 - 00000000 ____D () C:\Program Files\MediaViewV1
  2015-02-18 17:47 - 2014-02-24 08:43 - 00000000 ____D () C:\Program Files\MediaViewerV1
  2015-02-18 17:47 - 2014-01-30 08:49 - 00000000 ____D () C:\Program Files\MediaPlayerV1
  2015-02-18 17:47 - 2014-01-29 08:46 - 00000000 ____D () C:\Program Files\VideoPlayerV3
  2015-02-18 17:47 - 2014-01-10 14:38 - 00000000 ____D () C:\Program Files\Mobogenie
  Task: {9C81071B-B7B9-4D27-89C9-BC370190948B} - \tjubyjh No Task File <==== ATTENTION
  Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Rentast]

На часть программ система сказала что возможно они были удалены ранее. Сообщения про шифрование по прежнему открываются.

[thyrex]

Новые логи по правилам сделайте

[Rentast]

во вложении

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteFile('C:\Users\RECEPTION\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html','32');
 DeleteFile('C:\Users\RECEPTION\AppData\Roaming\newnext.me\nengine.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Сделайте новые логи по правилам

[Rentast]

Сейчас открывается одна пустая книга Excel (теперь без текста о шифровании) и одна та которую открываем.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\reception\adobechecker.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.dgj ( DrWEB: Trojan.BtcMine.120, BitDefender: Generic.Malware.SFPHV.11C5B933, AVAST4: Win32:Malware-gen )