Помогите. Зашифрованы файлы

**burnis** · 27.06.2016, 12:46

Добрый день. Согласно правилам форума(http://virusinfo.info/content.php?r=136-pravila Прежде всего -> пункт №2 выкладываю примеры шифрованных файлов на файлообменник: http://bubox.parterreonline.com/inde...3Gt8CYsn11ouk4
Буду признателен дальнейшим инструкциям.

upd. Спасибо большое. Выполнил все по инструкции.

1. Описание. Вирус зашифровал все фордовские, экселевские файлы добавив в конец разрешения vault
2. Касперский (КИС) в системе удалил какие-то вирусы.
3. После этого согласно инструкции запустил Dr.Web - вирусов не найдено.
4. Сделал инструкции из раздела "Помогите".

пожалуйста помогите как появится возможность. Если ли шанс?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 27.06.2016, 12:47

Уважаемый(ая) burnis, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 27.06.2016, 15:47

Логи прикрепите к сообщению на форуме

**burnis** · 27.06.2016, 17:42

Сообщение от thyrex

Логи прикрепите к сообщению на форуме

Простите, не нарушу ли я правила ?
" Логи нужно прикрепить к теме вложениями (а не запостить в теме). Пожалуйста, не переименовывайте файлы, загружайте с именами по умолчанию."

- - - - -Добавлено - - - - -

сабж

**thyrex** · 27.06.2016, 19:21

Выполните скрипт в AVZ

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteFile('C:\Users\Техномаш\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','32');
ExecuteSysClean;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

**burnis** · 28.06.2016, 10:01

Сообщение от thyrex

Выполните скрипт в AVZ

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteFile('C:\Users\Техномаш\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','32');
ExecuteSysClean;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Скрипт выполнил.
Выкладываю логи после повторной инструкции.

**thyrex** · 28.06.2016, 10:28

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**burnis** · 28.06.2016, 14:37

Логи полученные в пунктах №№4,5 прикрепляю к сообщению

**thyrex** · 28.06.2016, 19:28

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
2016-06-27 10:25 - 2016-06-27 10:25 - 00004121 ____H C:\Users\Техномаш\Desktop\VAULT.hta
2016-06-27 10:25 - 2016-06-27 10:25 - 00004121 _____ C:\Users\Техномаш\AppData\Roaming\VAULT.hta
C:\Users\пользователь\AppData\Local\Temp\7091.exe
C:\Users\пользователь\AppData\Local\Temp\amigo_setup.exe
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

**burnis** · 29.06.2016, 08:51

Прикрепляю Fixlog.txt

**thyrex** · 29.06.2016, 10:32

C расшифровкой не поможем

**burnis** · 29.06.2016, 10:49

Спасибо за потраченное время. Скажите на платной основе есть хоть какие-то шансы к расшифрованию?
Если да, то куда обратиться?

Самое любопытное, что нигде не выскочило сообщение "заплатите такие-то деньги туда-то для расшифрования".

**thyrex** · 29.06.2016, 11:14

Помогут только сами злодеи

**burnis** · 29.06.2016, 11:27

Сообщение от thyrex

Помогут только сами злодеи

а каким образом теперь связаться то с ними?

**thyrex** · 29.06.2016, 11:36

Нагуглите темы с подобным шифратором. Наверняка там найдется адрес для связи. Я не запоминал подобное.
Все необходимое для расшифровки (CONFIRMATION.KEY) осталось на Вашем компьютере

**burnis** · 29.06.2016, 14:35

скажите по опыту, имеет ли смысл обратиться в др.Веб ил Лабораторию Касперского?
Есть ли шанс что у них есть платные дешифраторы на такой счет? .... (последний даже KIS и стоял лицензия)

**thyrex** · 29.06.2016, 16:16

Вирлабы с этим не помогут

Помогите. Зашифрованы файлы (заявка № 201694)

Опции темы