Чёрный экран, надпись красными буквами "Все файлы зашифрованы,читайте README...". Все файлы зашифровались в файлы XTB

[_Урий_]

Доброго времени суток.
Уже не раз поднималась такая тема и не хотелось ее поднимать, а продолжить, но не получилось.

Принесли мне компьютер с кучей вирусов и еще самым противным таким "вирусом" чёрный экран, надпись красными буквами
"Все файлы зашифрованы,читайте README...".
и правда как есть все возможные текстовые форматы, картинки и даже видео тоже все форматы, но ни одного текста и картинки ни тронуто в папке Windows. Теперь наверно там надо хранить все
в Readme.txt следующий текст:

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
4E8327C014BA61580774|0
на электронный адрес [email protected] или [email protected] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

отправлять я пока ничего не стал. Спалить свой адрес постеснялся, к клиентскому адресу пока нет доступа.
По инструкции залил шифрованные файлы на https://yadi.sk/d/YC5JskYajBzXQ папку фото и документы.
Надеюсь хотя бы документы можно будет дешифровать(хотя я сильно уже сомневаюсь судя по отзывам), а то комп с организации.
В принципе на крайний случай можно и написать на выше указанные адреса, но при этом им туда вирусяку прицепить и они его должны проглотить так как не будут думать про это наверно или с gmail.com договориться про от слежку с какого IP скачивают почту, хотя я тоже в этом сильно сомневаюсь там наверно автоматом отвечать будет. Это просто мысль в слух.
Прогнал всеми антивирусами с правил и КИС16 сейчас поставил вроде. Прочистил все, но многое не нравится так что логи приложил

[Info_bot]

Уважаемый(ая) _Урий_, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DelBHO('{87D015FF-5A7C-4399-891C-9F17C69E9987}');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe','');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe','32');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\Program Files (x86)\Rising\RAV\rsmain.exe','32');
 DeleteFile('C:\Program Files (x86)\Аудио и видео скачивание\IE\x86\Downloader.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\DSite','64');
 DeleteFile('C:\Windows\system32\Tasks\kbrowser-updater-utility','64');
 DeleteFile('C:\Windows\system32\Tasks\Kinoroom Browser','64');
 DeleteFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe','32');
 DeleteFile('C:\Users\yunat\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\system32\Tasks\ankgsac','64');
 DeleteFile('C:\PROGRA~3\Mozilla\azlulzj.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380}','64');
 DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
 DeleteFile('C:\Users\yunat\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[_Урий_]

Спасибо.
отправил карантин.

Файл сохранён как 150920_195250_quarantine_55fed652ce3cc.zip
Размер файла 596
MD5 9b39d52074858fb4829101ca3e460404

и отчет приложил
и в этот раз на hosts ругнулся HijackThis по английски но не вчитывался, а в hosts было

127.0.0.1 waitplay.ru websplatt.ru anonim.do.am dardan.ru unboo.ru webvpn.org
127.0.0.1 workandtalk.ru timp.ru netdostupa.com adminimus.ru raskruty.ru dostyp.ru
127.0.0.1 neklassniki.ru cameleo.ru diazoom.ru jelya.ru razblokirovatdostup.ru
127.0.0.1 xy4-anonymizer.ru obhodilka.ru pinun.ru vhodilka.ru urlbl.ru o.vhodilka.ru
127.0.0.1 spoolls.com dostupest.ru anonimix.ru webmurk.ru nekontakt2.ru v.vhodilka.ru
127.0.0.1 antiblock.ru anonim.ttu.su nezayti.ru hellhead.ru nonymizer.ru ok-anonimaizer.ru
37.10.117.102 m.odnoklassniki.ru odnoklassniki.ru wap.odnoklassniki.ru vk.com m.vk.com www.odnoklassniki.ru my.mail.ru

как они достали эти кретины пишущие каки

[thyrex]

Пофиксите в HIJack

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1416383930&from=sky&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U614309743097
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0f92120582b7230ab0fc305194bec6f5&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0f92120582b7230ab0fc305194bec6f5&text={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1416383930&from=sky&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U614309743097
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1416383930&from=sky&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U614309743097&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1416383930&from=sky&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U614309743097&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1416383930&from=sky&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U614309743097
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0f92120582b7230ab0fc305194bec6f5&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0f92120582b7230ab0fc305194bec6f5&text=

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[_Урий_]

Доброго времени суток.
Уехал этот компьютер, но удаленка рулит
Пофиксил в HIJack
Логи Farbar Recovery Scan Tool

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1416383930&from=sky&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U614309743097
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1416383930&from=sky&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U614309743097&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1416383930&from=sky&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U614309743097
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1416383930&from=sky&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U614309743097&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1416383930&from=sky&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U614309743097&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1416383930&from=sky&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U614309743097&q={searchTerms}
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2448} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=274&systemid=448&v=n16118-718&apn_uid=4991250349934929&apn_dtid=TCH001&o=APN10648&apn_ptnrs=AGI&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1416383930&from=sky&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U614309743097&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1416383930&from=sky&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U614309743097&q={searchTerms}
SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2448} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=274&systemid=448&v=n16118-718&apn_uid=4991250349934929&apn_dtid=TCH001&o=APN10648&apn_ptnrs=AGI&q={searchTerms}
BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} ->  No File
BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} ->  No File
Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1642859280-2558012502-529697328-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1642859280-2558012502-529697328-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
FF Extension: Screeny - C:\Users\yunat\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{17238372-3743-33ab-8a9f-93722af74c79} [2013-12-25]
FF Extension: Shopping Suggestion - C:\Users\yunat\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{D394D188-BAC7-4e03-8FAF-389A4D7EC6F4}.xpi [2014-03-19]
FF Extension: superpromokody - C:\Users\yunat\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{D723D90A-8E67-11E3-81AA-43CE6088709B}.xpi [2014-02-06]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\yunat\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhloflhklmhfpedakmangadcdofhnnoh [2015-03-06]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\yunat\AppData\Roaming\Opera Software\Opera Stable\Extensions\fnbdnhhicmebfgdgglcdacdapkcihcoh [2015-02-09]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\yunat\AppData\Roaming\Opera Software\Opera Stable\Extensions\inoeonmfapjbbkmdafoankkfajkcphgd [2015-05-20]
OPR Extension: (superpromokody) - C:\Users\yunat\AppData\Roaming\Opera Software\Opera Stable\Extensions\jgnblgknonceobjdkepgodbolcpkgipk [2014-03-21]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\yunat\AppData\Roaming\Opera Software\Opera Stable\Extensions\kejbdjndbnbjgmefkgdddjlbokphdefk [2015-04-30]
StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe http://www.mystartsearch.com/?type=sc&ts=1416383930&from=sky&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U614309743097
2015-09-17 15:51 - 2015-09-17 15:51 - 04320054 _____ C:\Users\yunat\AppData\Roaming\D0C21735D0C21735.bmp
2015-09-17 13:43 - 2015-09-18 13:28 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-09-17 13:43 - 2015-09-18 13:28 - 00000000 __SHD C:\ProgramData\Windows
2015-09-17 13:43 - 2015-09-17 13:43 - 00000899 _____ C:\README9.txt
2015-09-17 13:43 - 2015-09-17 13:43 - 00000899 _____ C:\README8.txt
2015-09-17 13:43 - 2015-09-17 13:43 - 00000899 _____ C:\README7.txt
2015-09-17 13:43 - 2015-09-17 13:43 - 00000899 _____ C:\README6.txt
2015-09-17 13:43 - 2015-09-17 13:43 - 00000899 _____ C:\README5.txt
2015-09-17 13:43 - 2015-09-17 13:43 - 00000899 _____ C:\README4.txt
2015-09-17 13:43 - 2015-09-17 13:43 - 00000899 _____ C:\README3.txt
2015-09-17 13:43 - 2015-09-17 13:43 - 00000899 _____ C:\README2.txt
2015-09-17 13:43 - 2015-09-17 13:43 - 00000899 _____ C:\README10.txt
Task: {3D8D6DD1-1A51-4206-AAC7-9FAE9C34EE94} - \ankgsac -> No File <==== ATTENTION
Task: {8940D5D1-5A30-48BC-9B71-12B5CFD23E4E} - \RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380} -> No File <==== ATTENTION
Task: {8C28BAF9-B5C3-4FCA-9483-36219DB09BCA} - \DSite -> No File <==== ATTENTION
Task: {98BEB5DB-9ABD-4D43-A257-C40668BAC630} - \Safebrowser -> No File <==== ATTENTION
Task: {D82E2146-0BF8-454C-ACB1-7D39371BE6F4} - \kbrowser-updater-utility -> No File <==== ATTENTION
Task: {E63297DA-AB71-4B4D-B159-6A8F655477EB} - \Kinoroom Browser -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены