Как расшифровать файлы с расширением breaking_bad

@anniks52 · Регистрация: 09.02.2016

Студворк — интернет-сервис помощи студентам

Открыл письмо где было вложение с расширением .gz
В результате получил такое послание: Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
93192AE0AC0ACC8CD29E|0
на электронный адрес files2549@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.
Файла оказались зашифрованы с расширением breaking_bad. просьба помочь. Логи прилагаю.

@Sandor · 09.02.2016, 15:45

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя anniks52. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Kinoroom Browser
LiveWPPUpdate
Web Protector IE
Web Protector Plus (uninstall only)
Амиго
Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Program Files\Kinoroom Browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\ProgramData\KRB Updater Utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Kinoroom Browser" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "KRB Updater Utility" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "KRB Updater Utility Service" /F', 0, 15000, true);
 DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe', '32');
 DeleteFileMask('C:\Program Files\Kinoroom Browser', '*', true);
 DeleteFileMask('C:\ProgramData\KRB Updater Utility', '*', true);
 DeleteDirectory('C:\Program Files\Kinoroom Browser');
 DeleteDirectory('C:\ProgramData\KRB Updater Utility');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nmddxqjxkl','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Code
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы в начале этой темы или с помощью этой формы.
К сообщению прикреплять карантин не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте лог сканирования AdwCleaner.

@anniks52 · 10.02.2016, 10:53 **[ТС]**

Сообщаю полученные логи

@Sandor · 10.02.2016, 16:22

1.

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки отметьте дополнительно:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@anniks52 · 11.02.2016, 10:35 **[ТС]**

Еще логи:

@Sandor · 11.02.2016, 17:54

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Windows Batch file
start
CreateRestorePoint:
CHR HKU\S-1-5-21-57989841-1409082233-839522115-1182\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
OPR Extension: (No Name) - C:\Users\ankrutko.BARS46\AppData\Roaming\Opera Software\Opera Stable\Extensions\ciagpekplgpbepdgggflgmahnjgiaced [2015-08-14]
C:\Users\ankrutko\AppData\Local\Temp\raptrpatch.exe
C:\Users\ankrutko\AppData\Local\Temp\raptr_stub.exe
C:\Users\gpetrukhin\AppData\Local\Temp\raptrpatch.exe
C:\Users\gpetrukhin\AppData\Local\Temp\raptr_stub.exe
C:\Users\gpetrukhin\AppData\Local\Temp\tmp4F47.exe
C:\Users\kad\AppData\Local\Temp\raptrpatch.exe
C:\Users\kad\AppData\Local\Temp\raptr_stub.exe
C:\Users\kad\AppData\Local\Temp\tmp8094.exe
Task: {35DCE660-D6EC-4097-A80B-2F59A173F6A1} - System32\Tasks\Microsoft\Windows\KRBUUS\KRB Updater Utility Service => C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Несколько зашифрованных файлов упакуйте и тоже прикрепите.

@anniks52 · 12.02.2016, 10:22 **[ТС]**

Требуемый лог и зашифрованные файлы. Теперь продолжу работу с 15.02.2016

@thyrex · 12.02.2016, 17:23

Без шансов для расшифровки

@anniks52 · 12.02.2016, 17:48 **[ТС]**

Печаль конечно, но все равно спасибо за попытку помочь!

Новые блоги и статьи Все статьи Все блоги /
Как дизайн сайта влияет на конверсию: 7 решений, которые реально повышают заявки Neotwalker 08.03.2026 Многие до сих пор воспринимают дизайн сайта как “красивую оболочку”. На практике всё иначе: дизайн напрямую влияет на то, оставит человек заявку или уйдёт через несколько секунд. Даже если у вас. . .	Модульная разработка через nuget packages DevAlt 07.03.2026 Сложившийся в . Net-среде способ разработки чаще всего предполагает монорепозиторий в котором находятся все исходники. При создании нового решения, мы просто добавляем нужные проекты и имеем. . .	Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .
SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .	SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем. . . .	Реалии Hrethgir 01.03.2026 Нет, я не закончил до сих пор симулятор. Эта задача сложнее. Не получилось уйти в плавсостав, но оно и к лучшему, возможно. Точнее получалось - но сварщиком в палубную команду, а это значит, в моём. . .	Ритм жизни kumehtar 27.02.2026 Иногда приходится жить в ритме, где дел становится всё больше, а вовлечения в происходящее — всё меньше. Плотный график не даёт вниманию закрепиться ни на одном событии. Утро начинается с быстрых,. . .

@Sandor 22466 / 15920 / 3080 Регистрация: 08.10.2012 Сообщений: 64,852
	10.02.2016, 16:22
	1. Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки отметьте дополнительно: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 22466 / 15920 / 3080 Регистрация: 08.10.2012 Сообщений: 64,852
	11.02.2016, 17:54
	Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните. Windows Batch file start CreateRestorePoint: CHR HKU\S-1-5-21-57989841-1409082233-839522115-1182\SOFTWARE\Policies\Google: Restriction <======= ATTENTION OPR Extension: (No Name) - C:\Users\ankrutko.BARS46\AppData\Roaming\Opera Software\Opera Stable\Extensions\ciagpekplgpbepdgggflgmahnjgiaced [2015-08-14] C:\Users\ankrutko\AppData\Local\Temp\raptrpatch.exe C:\Users\ankrutko\AppData\Local\Temp\raptr_stub.exe C:\Users\gpetrukhin\AppData\Local\Temp\raptrpatch.exe C:\Users\gpetrukhin\AppData\Local\Temp\raptr_stub.exe C:\Users\gpetrukhin\AppData\Local\Temp\tmp4F47.exe C:\Users\kad\AppData\Local\Temp\raptrpatch.exe C:\Users\kad\AppData\Local\Temp\raptr_stub.exe C:\Users\kad\AppData\Local\Temp\tmp8094.exe Task: {35DCE660-D6EC-4097-A80B-2F59A173F6A1} - System32\Tasks\Microsoft\Windows\KRBUUS\KRB Updater Utility Service => C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe Reboot: end Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Несколько зашифрованных файлов упакуйте и тоже прикрепите. 0

@thyrex 14449 / 7488 / 1582 Регистрация: 06.09.2009 Сообщений: 27,132
	12.02.2016, 17:23
	Без шансов для расшифровки 1

@anniks52 0 / 0 / 0 Регистрация: 09.02.2016 Сообщений: 5
	12.02.2016, 17:48 [ТС]
	Печаль конечно, но все равно спасибо за попытку помочь! 0