Зашифрованы файлы

@emericawino · Регистрация: 11.08.2012

Студворк — интернет-сервис помощи студентам

Добрый день.Проблема в следующем.Поймал вирус,не понятным для себя образом,на посторонние сайты не заходил,юзал только проверенные и постоянно посещаемые ранее.Вирус заблокировал все текстовые файлы,к расширению добавилось .arest.Появился документ под названием WARNING содержащий следующее сообщение:

Ваш идентификационный номер: 469
Ваш IP адрес: 95.153.177.97

Протокол 1637/04 системы контроля НРНП МВД РФ

Автоматизированная система по надзору за распространением нелегального программного обеспечения Министерства Внутренних Дел Российской Федерации

Ваш компьютер заблокирован!

На вашем компьютере было зафиксировано наличие нелегального программного обеспечения, а так же нарушение авторских прав по ряду материалов:

Загрузка и сохранение аудио материалов, а так же нелегального програмного обеспечения нарушающих авторские права их владельцев.

На Вас наложены штрафные санкции по статье 146 УК РФ «Нарушение авторских и смежных прав».

Вынесено постановление об уплате штрафа в размере 2000р. 00к. (две тысячи рублей ноль копеек), который должен быть погашен в 3х дневный срок.

По окончании проверки ваших данных вы получите письмо с уведомлением о приостановке раследования по вашему делу.

В письме будет указан код разблокировки.

Для оплаты штрафа следуйте инструкциям ниже:

Пункт 1: Свяжитесь с отделом погашения задолжнностей по email адресу MVDRFSYSTEM@SMTP.RU. Для регистрации и разблокировки вашей системы в письме необходимо указать: Идентификационый номер и IP адрес.

Пункт 2: На Ваш email поступит платежное поручение или квитанция для оплаты штрафа в размере 2000 руб. 00 коп.

Пункт 3: Для скорейшего снятия ограничений с вашего компьютера вышлите копию оплаченной квитанции на вышеуказанный email адрес. В ответном письме вы получите код разблокировки, который необходимо вести в поле ниже и нажать кнопку «Разблокировать»

ПРЕДУПРЕЖДЕНИЕ! Попытка самостоятельного снятия ограничений системы и(или) файлов неизбежно приведет к полной потере данных и привлечению Вас к уголовной ответственности за нарушения преду

Проверял комп авастом,авз,аваст нашел пару троянов,отправил их в карантин,но проблема осталась.
Так же комп перестал выключаться и перезагружаться через меню пуск,перестал открываться диспетчер задач,откат и восстановление системы в безопасном режиме так же перестали работать.
Можно что-либо сделать с этим всем?Или тут только переустановка винды поможет?
Читал о наплыве трояна,который как раз шифрует файлы,как в моем случае,пока расшифровщика вроде нет,надеюсь скоро появится и можно будет разблокировать важные текстовые документы,но это пол беды,и меня это не очень волнует.Можно справиться с остальными проблемами,перечисленными мною выше?

magirus · 11.08.2012, 14:55

Как восстановить зашифрованные файлы

@thyrex · 11.08.2012, 15:42

Пока для этого шифровальщика дешифратора нет

@emericawino · 11.08.2012, 19:40 **[ТС]**

А как можно исправить это: комп перестал выключаться и перезагружаться через меню пуск,перестал открываться диспетчер задач,откат и восстановление системы в безопасном режиме так же перестали работать?

S.R · 11.08.2012, 20:04

Выполните это - Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@emericawino · 11.08.2012, 23:22 **[ТС]**

Во время сканирования Dr.Web в безопасном режиме было найдено 6 троянов,после их удаления комп стал снова перезагружаться и выключаться через меню Пуск,диспетчер задач нормально открывается,но система стала запускаться почему-то немного дольше,чем до того,как в нее проникли вирусы,насчет отката и восстановления системы сказать не могу изменилось ли что,т.к. не проверял.Вот логи.

@Katharsis · 11.08.2012, 23:37

info.txt выложите

@emericawino · 11.08.2012, 23:54 **[ТС]**

Он в архиве log

@Katharsis · 12.08.2012, 00:06

там hjt и log

Добавлено через 6 минут
log.txt тоже пустой, переделайте

@emericawino · 12.08.2012, 00:09 **[ТС]**

Пардон

@Katharsis · 12.08.2012, 00:36

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ _______________

1. обновите:
adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

2. В логе сканирования Hijackthis отметьте:

R3 - URLSearchHook: (no name) - - (no file)
O9 - Extra button: (no name) - {e6be8e97-9343-42bd-9cfd-9e2e74db25d8} - (no file)

нажмите "Fix checked"

3. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Documents and Settings\Maxim\Application Data\Tuoxas', '*', false, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\Maxim\Application Data\Ebuvy', '*', false, '', 0, 0);
 QuarantineFile('C:\Documents and Settings\Maxim\Application Data\oemfpc.dat','');
 QuarantineFile('C:\Documents and Settings\Maxim\Application Data\WARNING.txt','');
 DeleteFile('C:\Documents and Settings\Maxim\Application Data\oemfpc.dat');
 DeleteFile('C:\Documents and Settings\Maxim\Application Data\WARNING.txt');
 DeleteFile('C:\WINDOWS\WARNING.txt');
 DeleteFile('C:\WINDOWS\system32\WARNING.txt');
 DeleteFileMask('C:\Documents and Settings\Maxim\Application Data\Tuoxas', '*', true);
 DeleteFileMask('C:\Documents and Settings\Maxim\Application Data\Ebuvyм', '*', true);
 DeleteDirectory('C:\Documents and Settings\Maxim\Application Data\Tuoxas');
 DeleteDirectory('C:\Documents and Settings\Maxim\Application Data\Ebuvy');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Code
1
2
3
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

4. сделайте повторные логи AVZ и RSIT

5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

@emericawino · 12.08.2012, 07:09 **[ТС]**

Свежие логи.

S.R · 12.08.2012, 09:39

Удалите файл C:\Documents and Settings\Maxim\Application Data\igfxtray.dat.

Что с проблемой?

@emericawino · 12.08.2012, 12:30 **[ТС]**

S.R после проделанных инструкций от Katharsis комп стал загружаться быстрее,диспетчер задач работает,комп выключается через меню Пуск.Файл igfxtray.dat удалил, изменений не произошло,файлы так же остались зашифрованы.Стоит ли ждать универсальный дешифратор?Или для каждого пользователя все таки нужен уникальный?

@Katharsis · 12.08.2012, 12:45

Скачайте TDSSKiller, распакуйте в корень системного диска. Нажмите Пуск - выполнить. В поле открыть впишите команду: C:\tdsskiller.exe -qmbr -qboot Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме. Лог после сканирования (файл TDSSKiller.2.7.15.0_дата_время_log.txt) выложите сюда.

@emericawino · 12.08.2012, 12:56 **[ТС]**

Лог TDSSKiller.

@Katharsis · 12.08.2012, 13:18

смените все пароли

по поводу расшифровки - остается ждать, когда появится такая возможность

отправьте несколько шифрованных файлов сюда http://support.kaspersky.ru/viruses/utility
http://www.freedrweb.com/aid_admin/

подождите ответа. систему не переустанавливайте - это может лишить вас шанса на расшифровку

Рекомендации после удаления вредоносного ПО

@emericawino · 12.08.2012, 13:30 **[ТС]**

Спасибо за помощь,добрые люди.

@thyrex · 19.08.2012, 14:04

1. Найдите в папке Documents and Settings\проблемная_учетка\Application Data файл UpdateLogs.txt.arest
2. Вместе с несколькими заблокированными файлами разного типа (не очень большого размера) запакуйте в архив, выложите на файлообменник и пришлите ссылку мне в личные сообщения

@thyrex · 24.09.2012, 01:14

Пробуйте мою утилиту

Новые блоги и статьи Все статьи Все блоги /
Пишем адаптер для локального хранилища S3 на C# stackOverflow 16.07.2025 Разработка современных приложений часто требует интеграции с объектными хранилищами, и Amazon S3 стал де-факто стандартом в этой области. Однако работа с облачными сервисами в процессе разработки. . .	Старые замки kumehtar 16.07.2025 Смотрел тут фото, попались пара старых замков. И сразу бросилось в глаза из отличие. Например: Замок Бистон, в англии. Разрушенное сооружение. Но - не испорченное людьми, по крайней мере - на. . .	Java и Eclipse Store: Сверхбыстрые приложения с In-Memory DB Javaican 15.07.2025 Eclipse Store — это микро-движок персистентности для Java, который позволяет хранить и извлекать нативные Java-объекты без необходимости преобразования данных или использования объектно-реляционного. . .	EmBitz, создание проекта, отладка, прошивка locm 15.07.2025 Создание проекта для Blue Pill (STM32F103C8T6) в EmBitz 2. 30, написания кода blink, запуск отладки в ОЗУ, заливка релизной прошивки во flash используя ST-Link и др. . . .	Трассировка корутин Kotlin с OpenTelemetry mobDevWorks 14.07.2025 Асинхронное программирование меняет правила игры, особенно когда речь заходит о трассировке операций. В Kotlin с его корутинами эта проблема приобретает особый оттенок, который я хотел бы детально. . .
Облачные приложения на Rust: руководство по архитектуре микросервисов golander 13.07.2025 Когда я впервые взялся за проектирование облачной платформы для одного из наших клиентов, выбор стоял между привычными Go и Java. Но после нескольких месяцев разработки микросервисной системы,. . .	Как Node.js выполняет асинхронные операции Reangularity 13.07.2025 Каждый раз, когда я рассказываю про Node. js, возникает один и тот же вопрос: "Как эта штука может быть быстрой, если JavaScript — однопоточный язык?" И это действительно кажется парадоксом. Ведь в. . .	Как писать чистый, тестируемый и качественный код на Python py-thonny 12.07.2025 Помню свой первый проект на Python. Работал тогда быстро, грязно, лишь бы работало. Код был похож на запутанный клубок - переменные по одной букве, функции на 200 строк, комментарии отсутствовали как. . .	Blazor и контроллер сервопривода IoT Meadow Maple Wired 11.07.2025 Я решил разобраться, как можно соединить современные веб-технологии с миром "железа". Интересная комбинация получилась из Blazor в качестве веб-интерфейса и микроконтроллера Meadow с его веб-сервером. . .	Генерация OpenQASM из кода Q# EggHead 10.07.2025 Летом 2024-го я начал эксперименты с библиотекой Q# Bridge, и знаете что? Она оказалась просто находкой для тех, кто работает на стыке разных квантовых экосистем. Основная фишка этой библиотеки -. . .

@emericawino 2 / 2 / 0 Регистрация: 11.08.2012 Сообщений: 18

	Зашифрованы файлы 11.08.2012, 14:53. Показов 5374. Ответов 19 Метки нет (Все метки) Добрый день.Проблема в следующем.Поймал вирус,не понятным для себя образом,на посторонние сайты не заходил,юзал только проверенные и постоянно посещаемые ранее.Вирус заблокировал все текстовые файлы,к расширению добавилось .arest.Появился документ под названием WARNING содержащий следующее сообщение: Ваш идентификационный номер: 469 Ваш IP адрес: 95.153.177.97 Протокол 1637/04 системы контроля НРНП МВД РФ Автоматизированная система по надзору за распространением нелегального программного обеспечения Министерства Внутренних Дел Российской Федерации Ваш компьютер заблокирован! На вашем компьютере было зафиксировано наличие нелегального программного обеспечения, а так же нарушение авторских прав по ряду материалов: Загрузка и сохранение аудио материалов, а так же нелегального програмного обеспечения нарушающих авторские права их владельцев. На Вас наложены штрафные санкции по статье 146 УК РФ «Нарушение авторских и смежных прав». Вынесено постановление об уплате штрафа в размере 2000р. 00к. (две тысячи рублей ноль копеек), который должен быть погашен в 3х дневный срок. По окончании проверки ваших данных вы получите письмо с уведомлением о приостановке раследования по вашему делу. В письме будет указан код разблокировки. Для оплаты штрафа следуйте инструкциям ниже: Пункт 1: Свяжитесь с отделом погашения задолжнностей по email адресу MVDRFSYSTEM@SMTP.RU. Для регистрации и разблокировки вашей системы в письме необходимо указать: Идентификационый номер и IP адрес. Пункт 2: На Ваш email поступит платежное поручение или квитанция для оплаты штрафа в размере 2000 руб. 00 коп. Пункт 3: Для скорейшего снятия ограничений с вашего компьютера вышлите копию оплаченной квитанции на вышеуказанный email адрес. В ответном письме вы получите код разблокировки, который необходимо вести в поле ниже и нажать кнопку «Разблокировать» ПРЕДУПРЕЖДЕНИЕ! Попытка самостоятельного снятия ограничений системы и(или) файлов неизбежно приведет к полной потере данных и привлечению Вас к уголовной ответственности за нарушения преду Проверял комп авастом,авз,аваст нашел пару троянов,отправил их в карантин,но проблема осталась. Так же комп перестал выключаться и перезагружаться через меню пуск,перестал открываться диспетчер задач,откат и восстановление системы в безопасном режиме так же перестали работать. Можно что-либо сделать с этим всем?Или тут только переустановка винды поможет? Читал о наплыве трояна,который как раз шифрует файлы,как в моем случае,пока расшифровщика вроде нет,надеюсь скоро появится и можно будет разблокировать важные текстовые документы,но это пол беды,и меня это не очень волнует.Можно справиться с остальными проблемами,перечисленными мною выше? 1

magirus Почетный модератор 28049 / 15785 / 983 Регистрация: 15.09.2009 Сообщений: 67,753 Записей в блоге: 78
	11.08.2012, 14:55
	Как восстановить зашифрованные файлы 1

@thyrex 14210 / 7441 / 1573 Регистрация: 06.09.2009 Сообщений: 27,058
	11.08.2012, 15:42
	Пока для этого шифровальщика дешифратора нет 0

@emericawino 2 / 2 / 0 Регистрация: 11.08.2012 Сообщений: 18
	11.08.2012, 19:40 [ТС]
	А как можно исправить это: комп перестал выключаться и перезагружаться через меню пуск,перестал открываться диспетчер задач,откат и восстановление системы в безопасном режиме так же перестали работать? 0

S.R Консультант 368 / 138 / 3 Регистрация: 09.11.2011 Сообщений: 409
	11.08.2012, 20:04
	Выполните это - Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 1

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	11.08.2012, 23:37
	info.txt выложите 1

@emericawino 2 / 2 / 0 Регистрация: 11.08.2012 Сообщений: 18
	11.08.2012, 23:54 [ТС]
	Он в архиве log 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	12.08.2012, 00:06
	там hjt и log Добавлено через 6 минут log.txt тоже пустой, переделайте 1

S.R Консультант 368 / 138 / 3 Регистрация: 09.11.2011 Сообщений: 409
	12.08.2012, 09:39
	Удалите файл C:\Documents and Settings\Maxim\Application Data\igfxtray.dat. Что с проблемой? 1

@emericawino 2 / 2 / 0 Регистрация: 11.08.2012 Сообщений: 18
	12.08.2012, 12:30 [ТС]
	S.R после проделанных инструкций от Katharsis комп стал загружаться быстрее,диспетчер задач работает,комп выключается через меню Пуск.Файл igfxtray.dat удалил, изменений не произошло,файлы так же остались зашифрованы.Стоит ли ждать универсальный дешифратор?Или для каждого пользователя все таки нужен уникальный? 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	12.08.2012, 12:45
	Скачайте TDSSKiller, распакуйте в корень системного диска. Нажмите Пуск - выполнить. В поле открыть впишите команду: C:\tdsskiller.exe -qmbr -qboot Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме. Лог после сканирования (файл TDSSKiller.2.7.15.0_дата_время_log.txt) выложите сюда. 1

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	12.08.2012, 13:18
	смените все пароли по поводу расшифровки - остается ждать, когда появится такая возможность отправьте несколько шифрованных файлов сюда http://support.kaspersky.ru/viruses/utility http://www.freedrweb.com/aid_admin/ подождите ответа. систему не переустанавливайте - это может лишить вас шанса на расшифровку Рекомендации после удаления вредоносного ПО 1

@emericawino 2 / 2 / 0 Регистрация: 11.08.2012 Сообщений: 18
	12.08.2012, 13:30 [ТС]
	Спасибо за помощь,добрые люди. 0

@thyrex 14210 / 7441 / 1573 Регистрация: 06.09.2009 Сообщений: 27,058
	19.08.2012, 14:04
	1. Найдите в папке Documents and Settings\проблемная_учетка\Application Data файл UpdateLogs.txt.arest 2. Вместе с несколькими заблокированными файлами разного типа (не очень большого размера) запакуйте в архив, выложите на файлообменник и пришлите ссылку мне в личные сообщения 1

@thyrex 14210 / 7441 / 1573 Регистрация: 06.09.2009 Сообщений: 27,058
	24.09.2012, 01:14
	Пробуйте мою утилиту 1