Закрыто Ваши файлы были зашифрованы post8881@gmail.com [Trojan.Encoder.858]

Тема в разделе "Лечение компьютерных вирусов", создана пользователем johnsmith, 13 июл 2015.

Статус темы:
Закрыта.
  1. johnsmith
    Оффлайн

    johnsmith Новый пользователь

    Сообщения:
    7
    Симпатии:
    3
    Здравствуйте! Поймал шифровальщик.
    Ваши файлы были зашифрованы.
    Чтобы расшифровать их, Вам необходимо отправить код:
    7382CF189DC8FF68203D|0
    на электронный адрес post8881@gmail.com или post24932@gmail.com .
    Далее вы получите все необходимые инструкции.
    Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

    помогите пожалуйста!
     

    Вложения:

    Последнее редактирование модератором: 13 июл 2015
  2. johnsmith
    Оффлайн

    johnsmith Новый пользователь

    Сообщения:
    7
    Симпатии:
    3
    теме ап... помогите пожалуйста!!!
    --- Объединённое сообщение, 14 июл 2015, Дата первоначального сообщения: 14 июл 2015 ---
    вот такие файлы везде
     

    Вложения:

    • README1.txt
      Размер файла:
      889 байт
      Просмотров:
      5
  3. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    XTBL - расширения файлов?
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):

    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
    then
      begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Users\Алексей\AppData\Local\Amigo\User Data\Default\Web Applications\_crx_mbipmajmbfjakbcfnjdldckninlnmhoe\Амиго.Музыка.lnk','');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Амиго.Музыка.lnk','');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Амиго.Музыка.lnk','');
    QuarantineFile('C:\Users\Алексей\Desktop\Амиго.Музыка.lnk','');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Оpеrа.lnk','');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru.lnk','');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Одноклассники.lnk','');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk','');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk','');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk','');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk','');
    QuarantineFile('C:\Users\Алексей\Desktop\Искать в Интернете.lnk','');
    QuarantineFile('C:\Users\Алексей\Desktop\Одноклассники.lnk','');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk','');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Оpеrа.lnk','');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk','');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndех.lnk','');
    QuarantineFile('C:\Users\Алексей\Desktop\Yаndех.lnk','');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\SendTo\Dropbox.lnk','');
    QuarantineFile('C:\Users\Алексей\Links\Dropbox.lnk','');
    QuarantineFile('C:\Users\Алексей\Links\Яндекс.Диск.lnk','');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Менеджер браузеров\Менеджер браузеров.lnk','');
    QuarantineFile('C:\Users\Алексей\AppData\Local\Microsoft\Windows\Application Shortcuts\Microsoft.InternetExplorer.Default\Яндекс.lnk','');
    QuarantineFile('C:\Users\Алексей\AppData\Local\Microsoft\Windows\Application Shortcuts\Microsoft.InternetExplorer.Default\Яндекс.Почта.lnk','');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Поиcк в Интeрнете.lnk','');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GAMESDESKTOP\GamesDesktop.lnk','');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Python 2.6\Python Manuals.lnk','');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet.lnk','');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2\MediaGet.lnk','');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage\Configure.lnk','');
    QuarantineFile('C:\Users\Алексей\Favorites\Mail.Ru.url','');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Daum PotPlayer\Adobe Flash Player Installer.url','');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\АСКОН\КОМПАС-3D V14\Программы ключа защиты\Сведения о ключах защиты.url','');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\АСКОН\КОМПАС-3D V14\Программы ключа защиты\Сведения о системе защиты.url','');
    QuarantineFile('C:\Users\Алексей\Favorites\Links\Почта.url','');
    QuarantineFile('C:\Users\Алексей\Favorites\Links\Яндекс.url','');
    QuarantineFile('C:\Users\Алексей\Favorites\Mail.Ru Агент - используй для общения!.url','');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk','');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndех.lnk','');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Интернет\Интернет.lnk','');
    QuarantineFile('C:\launcher.bat','');
    QuarantineFile('C:\Users\Алексей\AppData\Local\Yandex\browser.bat','');
    QuarantineFile('C:\opera.bat','');
    QuarantineFile('C:\iexplore.bat','');
    DeleteFile('C:\launcher.bat','');
    DeleteFile('C:\Users\Алексей\AppData\Local\Yandex\browser.bat','');
    DeleteFile('C:\opera.bat','');
    DeleteFile('C:\iexplore.bat','');
    DelBHO('{11111111-1111-1111-1111-110611571181}');
    DelBHO('{11111111-1111-1111-1111-110611381183}');
    DelBHO('{11111111-1111-1111-1111-110611111195}');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','oklqvpekmj');
    BC_ImportALL;
      ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Необходимо исправить ярлыки по этой инструкции
    --- Объединённое сообщение, 14 июл 2015 ---

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
    Последнее редактирование модератором: 14 июл 2015
  5. johnsmith
    Оффлайн

    johnsmith Новый пользователь

    Сообщения:
    7
    Симпатии:
    3
    все верно!
    --- Объединённое сообщение, 14 июл 2015 ---
    вот отчет. спасибо что помогаете! что делать дальше?
     

    Вложения:

  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Попробуйте инструкцию из этого поста

    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
     
  7. johnsmith
    Оффлайн

    johnsmith Новый пользователь

    Сообщения:
    7
    Симпатии:
    3
    написал касперскому... подскажите как обезопасить комп? стоял аваст, адмучер и usb guard. И получится ли мне разблокировать файлы или придется платить? я пока уговорил злоумышленника на три тысячи. но это все равно очень много... и где гарантии что опять ничего не случится. как вообще все это происходит. смущают меня эти амиго и менеджер браузеров... уже и накручиваю может майлы и яндексы тут замешаны?
     
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Это вы сами установили устанавливая необходимую вам программу. Дьявол кроется в мелочах, а вашем случае в лицензионном соглашении :)

    Амиго и менеджер браузеров можно безболезненно удалить через установку/удаление программ.

    Ничего не могу сказать, не так давно вендоры не могли расшифровать такие файлы.
    Гарантий никто не даст. Только ваша внимательность к мелочам.


    Есть скорее всего нам нужно изменить подход (шаблон) по сбору информации.


    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Как определить разрядность системы


    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также следующие чекбоксы: List BCD, Drivers MD5, Shortcut.txt, Addition.txt

    [​IMG]

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты Main.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  9. johnsmith
    Оффлайн

    johnsmith Новый пользователь

    Сообщения:
    7
    Симпатии:
    3
    ведь шифровальщик является трояном, почему антивирусы его не видят? у друга стоял касперский лицензия и так же все зашифровалось... Main.txt не нашел, вот что создалось после сканирования. от касперского пока письма не пришло...
     

    Вложения:

    • Addition.txt
      Размер файла:
      50,6 КБ
      Просмотров:
      0
    • FRST.txt
      Размер файла:
      90,2 КБ
      Просмотров:
      1
    • Shortcut.txt
      Размер файла:
      80,2 КБ
      Просмотров:
      0
    SNS-amigo нравится это.
  10. johnsmith
    Оффлайн

    johnsmith Новый пользователь

    Сообщения:
    7
    Симпатии:
    3
    теме апп! касперцы молчат. неужели хакеры настолько головастые что проблема не решаема кроме перегона денег злыдням?
     
    SNS-amigo нравится это.
  11. johnsmith
    Оффлайн

    johnsmith Новый пользователь

    Сообщения:
    7
    Симпатии:
    3
    короче вопрос походу не решаемый. касперский молчит ... от форума толку нет, потеря времени... негодяю я отправил петецию с пожеланиями и посланиями. всем добра!
     
    Последнее редактирование модератором: 16 июл 2015
    SNS-amigo нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей