ВСЕ файлы стали зашифрованы (BETTER CALL SAUL)

@Little_John · Регистрация: 20.04.2016

Author24 — интернет-сервис помощи студентам

Подхватили вирус-шифровальщик, через вложение в электронной почте.
Результат - зашифрованы документы на дисках.
Пожалуйста, помогите восстановить систему, и если возможно, восстановить данные.

Сообщение в txt на диске C:
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
0D3FFF03613E7F1703F0|411|3|10
на электронный адрес Kudryavtsev.Panfil@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.
Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),
воспользуйтесь резервным адресом. Его можно узнать двумя способами:
1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/dow... sy.html.en
В адресной строке Tor Browser-а введите адрес:
http://cryptorzimsbfbkx.onion/
и нажмите Enter. Загрузится страница с резервными email-адресами.
2) В любом браузере перейдите по одному из адресов:
http://cryptorzimsbfbkx.onion.to/
http://cryptorzimsbfbkx.onion.cab/

@Sandor · 20.04.2016, 16:13

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Little_John. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe', '');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@Little_John · 20.04.2016, 16:58 **[ТС]**

1. скрипты выполнил.
2. quarantine.zip отправил через форму.
3. новый CollectionLog прикладываю.

@Sandor · 21.04.2016, 08:07

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Little_John · 21.04.2016, 08:38 **[ТС]**

Отчеты Farbar Recovery Scan Tool

@Sandor · 21.04.2016, 08:57

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
CHR HKU\S-1-5-21-220523388-2052111302-682003330-1003\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2016-04-20 11:42 - 2016-04-20 11:42 - 03148854 _____ C:\Documents and Settings\User\Application Data\C8E33CA7C8E33CA7.bmp
2016-04-20 11:42 - 2016-04-20 11:42 - 00002724 _____ C:\Documents and Settings\User\Рабочий стол\README9.txt
2016-04-20 11:42 - 2016-04-20 11:42 - 00002724 _____ C:\Documents and Settings\User\Рабочий стол\README8.txt
2016-04-20 11:42 - 2016-04-20 11:42 - 00002724 _____ C:\Documents and Settings\User\Рабочий стол\README7.txt
2016-04-20 11:42 - 2016-04-20 11:42 - 00002724 _____ C:\Documents and Settings\User\Рабочий стол\README6.txt
2016-04-20 11:42 - 2016-04-20 11:42 - 00002724 _____ C:\Documents and Settings\User\Рабочий стол\README5.txt
2016-04-20 11:42 - 2016-04-20 11:42 - 00002724 _____ C:\Documents and Settings\User\Рабочий стол\README4.txt
2016-04-20 11:42 - 2016-04-20 11:42 - 00002724 _____ C:\Documents and Settings\User\Рабочий стол\README3.txt
2016-04-20 11:42 - 2016-04-20 11:42 - 00002724 _____ C:\Documents and Settings\User\Рабочий стол\README2.txt
2016-04-20 11:42 - 2016-04-20 11:42 - 00002724 _____ C:\Documents and Settings\User\Рабочий стол\README10.txt
2016-04-20 11:42 - 2016-04-20 11:42 - 00002724 _____ C:\Documents and Settings\User\Рабочий стол\README1.txt
2016-04-20 11:42 - 2016-04-20 11:42 - 00002724 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2016-04-20 11:42 - 2016-04-20 11:42 - 00002724 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2016-04-20 11:42 - 2016-04-20 11:42 - 00002724 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2016-04-20 11:42 - 2016-04-20 11:42 - 00002724 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2016-04-20 11:42 - 2016-04-20 11:42 - 00002724 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2016-04-20 11:42 - 2016-04-20 11:42 - 00002724 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2016-04-20 11:42 - 2016-04-20 11:42 - 00002724 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2016-04-20 11:42 - 2016-04-20 11:42 - 00002724 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2016-04-20 11:42 - 2016-04-20 11:42 - 00002724 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2016-04-20 11:42 - 2016-04-20 11:42 - 00002724 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2016-04-20 08:33 - 2016-04-20 08:33 - 00002724 _____ C:\README9.txt
2016-04-20 08:33 - 2016-04-20 08:33 - 00002724 _____ C:\README8.txt
2016-04-20 08:33 - 2016-04-20 08:33 - 00002724 _____ C:\README7.txt
2016-04-20 08:33 - 2016-04-20 08:33 - 00002724 _____ C:\README6.txt
2016-04-20 08:33 - 2016-04-20 08:33 - 00002724 _____ C:\README5.txt
2016-04-20 08:33 - 2016-04-20 08:33 - 00002724 _____ C:\README4.txt
2016-04-20 08:33 - 2016-04-20 08:33 - 00002724 _____ C:\README3.txt
2016-04-20 08:33 - 2016-04-20 08:33 - 00002724 _____ C:\README2.txt
2016-04-20 08:33 - 2016-04-20 08:33 - 00002724 _____ C:\README10.txt
2016-04-20 08:33 - 2016-04-20 08:33 - 00002724 _____ C:\README1.txt
2016-04-20 08:23 - 2016-04-20 16:21 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2014-10-01 14:08 - 2014-10-01 14:08 - 0110592 __RSH (fgtyhbvdfr) C:\Documents and Settings\User\Application Data\svchost.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-64314c30.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-64e62adf.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-7f745d82.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-8191d7c.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-8452f16f.exe
C:\Documents and Settings\User\Local Settings\Temp\B6F22628.exe
C:\Documents and Settings\User\Local Settings\Temp\KB27456187.exe
C:\Documents and Settings\User\Local Settings\Temp\NSISPromotion.dll
C:\Documents and Settings\User\Local Settings\Temp\NSISPromotionEx.dll
C:\Documents and Settings\User\Local Settings\Temp\Setup-yabrowser.exe
C:\Documents and Settings\User\Local Settings\Temp\YandexToolbarInstaller.exe
C:\Documents and Settings\User\Local Settings\Temp\yupdate-exec-yabrowser.exe
C:\Documents and Settings\User\Local Settings\Temp\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}_NIS.exe
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

@Little_John · 21.04.2016, 09:40 **[ТС]**

прикладываю fix.log

@Sandor · 21.04.2016, 09:46

С расшифровкой не поможем.

@Little_John · 21.04.2016, 10:20 **[ТС]**

Спасибо за помощь.
Я так понимаю, больше вариантов нет.

@Sandor · 21.04.2016, 10:22

При наличии лицензии на DrWeb или антивирус Касперского можно послать запрос на расшифровку в соотв. ТП. Но шансов крайне мало.

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	20.04.2016, 16:13	2
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя Little_John. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe'); QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe', ''); DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы. К сообщению прикреплять файл quarantine.zip не нужно! Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	21.04.2016, 08:07	4
	Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	21.04.2016, 09:46	8
	С расшифровкой не поможем. 0

@Little_John 0 / 0 / 0 Регистрация: 20.04.2016 Сообщений: 5
	21.04.2016, 10:20 [ТС]	9
	Спасибо за помощь. Я так понимаю, больше вариантов нет. 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	21.04.2016, 10:22	10
	При наличии лицензии на DrWeb или антивирус Касперского можно послать запрос на расшифровку в соотв. ТП. Но шансов крайне мало. 0

Опции темы