Win32/filecoder.ED зашифровал файлы

@PStasei84 · Регистрация: 13.01.2015

Author24 — интернет-сервис помощи студентам

Поймал шифратора, если честно так и не понял как, была большая нагрузка на HDD, чувствовал что то не доброе, но не думал, что на столько. Зашифровал все, видео/аудио/фото/текстовые документы, проклинаю себя особенно за фотографии. Пробовал утилиты от кашперского, не помогли. Очень надеюсь на вашу помощь.

@PStasei84 · 13.01.2015, 17:48 **[ТС]**

Текст редмишек к каждому зашифрованному файлу:
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
EE87BC40FAF601F2B5AA|0
на электронный адрес deshifrovka@aim.com или deshifrovka@gmx.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

@Sandor · 14.01.2015, 09:49

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя PStasei84. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Администратор\zvwrqsht.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\IEUpdate\dialer.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\sZEzUDGjxAeSrO+4xEfGW4EP77s6oHSoHZ6MuvzR07w=.xtbl','');
 DeleteFile('C:\Users\Администратор\zvwrqsht.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MSConfig','command');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteRepair(13);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подготовьте лог сканирования AdwCleaner.
Какое расширение у зашифрованных файлов?

@PStasei84 · 14.01.2015, 15:13 **[ТС]**

Первые 2 пункта выполнено.
3. Лог сделан
4. Файлы имеют расширение *.xtbl

@Sandor · 14.01.2015, 15:28

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

@PStasei84 · 14.01.2015, 16:16 **[ТС]**

Все готово

@PStasei84 · 16.01.2015, 18:49 **[ТС]**

Процесс идет или это всё?

@thyrex · 18.01.2015, 12:34

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('E:\Soft\Soft\soft-zarabotok\safesurf-install\SafeSurf\safesurf.exe','');
 QuarantineFile('C:\Users\Администратор\zvwrqsht.exe','');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\IEUpdate\dialer.exe','32');
 DeleteFile('C:\Users\Администратор\zvwrqsht.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MSConfig','command');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи

Сделайте лог МВАМ

@PStasei84 · 18.01.2015, 17:21 **[ТС]**

Готово

@thyrex · 18.01.2015, 18:26

SafeSurf, cgminer сами устанавливали?

@PStasei84 · 18.01.2015, 18:34 **[ТС]**

Да, в принципе это не вирусное, а рекламное ПО, но думаю через SafeSurf, заразу и подхватил. sgminer, консольная прога для майнинга, в принципе крутит видюху и ничего катострофичного не делает

@thyrex · 18.01.2015, 19:55

Ну если оно Вас устраивает, на этом лечение считаем оконченным

С расшифровкой не поможем

@PStasei84 · 18.01.2015, 19:59 **[ТС]**

Я ничего не имею против удаления данного ПО, ради спасения 2Тб информации, если есть желание и возможность, не бросайте пожалуйста!

@thyrex · 18.01.2015, 20:29

Написано же

Сообщение от thyrex

С расшифровкой не поможем

На данный момент расшифровки нет ни в одном вирлабе, а Вы хотите, чтобы простые пользователи Вам помогли

@PStasei84 · 19.01.2015, 17:33 **[ТС]**

Спасибо!, что уделили время. Буду искать и ждать, может кто то найдет выход, шифратор смотрю носит уже массовый характер.

@PStasei84 0 / 0 / 0 Регистрация: 13.01.2015 Сообщений: 9
	18.01.2015, 18:34 [ТС]	11
	Да, в принципе это не вирусное, а рекламное ПО, но думаю через SafeSurf, заразу и подхватил. sgminer, консольная прога для майнинга, в принципе крутит видюху и ничего катострофичного не делает 0

@PStasei84 0 / 0 / 0 Регистрация: 13.01.2015 Сообщений: 9
	13.01.2015, 17:48 [ТС]	2
	Текст редмишек к каждому зашифрованному файлу: Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: EE87BC40FAF601F2B5AA\|0 на электронный адрес deshifrovka@aim.com или deshifrovka@gmx.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	14.01.2015, 09:49	3
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя PStasei84. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\Администратор\zvwrqsht.exe', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\IEUpdate\dialer.exe',''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\sZEzUDGjxAeSrO+4xEfGW4EP77s6oHSoHZ6MuvzR07w=.xtbl',''); DeleteFile('C:\Users\Администратор\zvwrqsht.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MSConfig','command'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); ExecuteSysClean; ExecuteRepair(13); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Подготовьте лог сканирования AdwCleaner. Какое расширение у зашифрованных файлов? 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	14.01.2015, 15:28	5
	Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. 0

@PStasei84 0 / 0 / 0 Регистрация: 13.01.2015 Сообщений: 9
	16.01.2015, 18:49 [ТС]	7
	Процесс идет или это всё? 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	18.01.2015, 18:26	10
	SafeSurf, cgminer сами устанавливали? 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	18.01.2015, 19:55	12
	Ну если оно Вас устраивает, на этом лечение считаем оконченным С расшифровкой не поможем 0

@PStasei84 0 / 0 / 0 Регистрация: 13.01.2015 Сообщений: 9
	18.01.2015, 19:59 [ТС]	13
	Я ничего не имею против удаления данного ПО, ради спасения 2Тб информации, если есть желание и возможность, не бросайте пожалуйста! 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	18.01.2015, 20:29	14
	Написано же Сообщение от thyrex С расшифровкой не поможем На данный момент расшифровки нет ни в одном вирлабе, а Вы хотите, чтобы простые пользователи Вам помогли 0

@PStasei84 0 / 0 / 0 Регистрация: 13.01.2015 Сообщений: 9
	19.01.2015, 17:33 [ТС]	15
	Спасибо!, что уделили время. Буду искать и ждать, может кто то найдет выход, шифратор смотрю носит уже массовый характер. 0