Решена с расшифровкой. ПомогитеПожалуйста спасти фотографии от вируса шифровальщика !Decrypt-All-Files-iyrcdhb

[Евгений Рад]

вот вроде сделал
и вот и еще отправил на почту....Прошу прощения ,что так долго не делал .Небыло доступа до компа

 

[Кирилл]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   QuarantineFile('C:\WINDOWS\msbtce.exe', '');
   DeleteFile('C:\WINDOWS\msbtce.exe', '32');
  RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MsBtce');
  RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MsBtce', 'command');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKLM\..\Run: [MsBtce] C:\WINDOWS\msbtce.exe

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
Сообщите как проблемы.

 

[Евгений Рад]

отправил на почту скрипт ...ПРИ ПРОФИКСОВАНИИИ выбрал все пункты с номером ( 4)..Это неправильно ,надо было одну строку выбирать????? только такую???
O4 - HKLM\..\Run: [MsBtce] C:\WINDOWS\msbtce.exe..??????

 

[thyrex]

Да, только одну

 

[Евгений Рад]

Об изменениях...Раньше при загрузке видовс .. появлялось очень быстро и исчезало окно черное с надписью шифра ..Но оно давно уже исчезло , после 2 ил3 пунка лечения .. Пока все картинки и фото ,те что были ранее зашифрованы зашифрованы...Может я неправильно немного профиксил??..O4 - HKLM\..\Run: [MsBtce] C:\WINDOWS\msbtce.exe..??????..Пока это го пункта нету ......Под пунктом 4
Когда я фиксил было где-то 5 пунктов под номером 4
O4 - HKLM\..\Run: [MsBtce] C:\WINDOWS\msbtce.exe..??????..Там сейчас есть один .. но не такой ..
И что теперь делать ???
а что должно произойти после галочки под пунктом 4 и нажатия слова фикс??? У меня просто пустое окно появилось.. и висит ..поисчезали все пункты..Исчезли из загрузки нод 32 и языки справа внизу
Подскажите как вернуть нод 32 в автозагрузку..спасибо

 

[Кирилл]

Евгений Рад, вы вообще читаете что вам пишут?
Вам сказано пофиксить конкретно именно эту строку,буква в букву:
O4 - HKLM\..\Run: [MsBtce] C:\WINDOWS\msbtce.exe

И никакие другие строки под этим номером...ужас.

.Исчезли из загрузки нод 32 и языки справа внизу

Опять не читаете инструкции:

У HijackThis есть возможность отмены сделанных с помощью него изменений в системе:

• Нажмите кнопку View the list of backups.
• Отметьте то, что хотите вернуть
• Нажмите кнопку Restore.

Далее ждем то,что должно быть по списку от сообщения №22

Надеюсь в этом году.

 

[Евгений Рад]

исправляю
Вопрос ,что должно происходить ,после нажатия слова фикс... Сколько ждать....
отправил . на я щик письмо .. востанорвил все строки
такой строки под пунктом 4 нету .....O4 - HKLM\..\Run: [MsBtce] C:\WINDOWS\msbtce.exe
и что делать...
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: APC UPS Status.lnk = ?
такие только

 

[Кирилл]

(некоторые строки могут отсутствовать):

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Сообщите как проблемы.

 

[Евгений Рад]

автологер ( авз запускал)..КАртинки и фото что были зашифрованы..пока зашифрованы..

 

[Евгений Рад]

может еще раз повторить что в 21 посте??

 

[thyrex]

Предпринимаемые действия никоим образом не могли помочь расшифровке.
У Вас CTB-Locker и ноль шансов расшифровать без обращения к злодеям.

 

[Евгений Рад]

CTB-Locker..а это что такое..можете написать более проще..спасибо.. а как злодеев найти ..если все их данные потеряны??

 

[thyrex]

Например, CTB-Locker — новая модификация трояна-шифровальщика FileCoder

 

[Евгений Рад]

отправил на ящик от авз скрипт ..что еще надо делать? спасибо
забыл как это сделать ..где искать лог ..который потом надо вставить??
...........................................................................
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
Прикрепите новый лог.
не могу никак понять ,как после сделпнного и отправленного скрипта сделать лог через АВЗ.Нажимаю шифт,нажимаю кнопку пуск..а где потом что искать или ..по другому??

• https://safezone.cc/threads/kak-podgotovit-log-avz-v-bezopasnom-rezhime.56/
• сделал это..отпраил на почту

 

[Кирилл]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Евгений Рад]

сделал-спасибо
вот

 

[Кирилл]

Удалите через установк и удаление программ:
Facemoods Toolbar

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-1078081533-1965331169-1177238915-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.facemoods.com/?a=ostpl
URLSearchHook: HKU\S-1-5-21-1078081533-1965331169-1177238915-1003 - Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -  No File
URLSearchHook: [S-1-5-21-1078081533-1965331169-1177238915-1004] ATTENTION => Default URLSearchHook is missing
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://start.facemoods.com/?a=ostpl&f=2" <======= ATTENTION
SearchScopes: HKU\S-1-5-21-1078081533-1965331169-1177238915-1003 -> {0D7562AE-8EF6-416d-A838-AB665251703A} URL = hxxp://start.facemoods.com/?a=ostpl&s={searchTerms}&f=4
CHR Extension: (Facemoods) - C:\Documents and Settings\Евгений\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ihflimipbcaljfnojhhknppphnnciiif [2016-11-22] [UpdateUrl: hxxp://facemoods.com/public/download/chrome/update.xml] <==== ATTENTION
CHR HKLM\...\Chrome\Extension: [ihflimipbcaljfnojhhknppphnnciiif] - C:\Program Files\facemoods.com\facemoods\1.4.17.8\facemoods.crx [2011-05-01]
2017-03-02 07:55 - 2017-01-19 16:16 - 00000000 ____D C:\levis
18-10-2016 20:03:38 Revo Uninstaller's restore point - Ace Stream Media 3.1.10
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

 

[Евгений Рад]

Доброе утро ,прошу прощение за время,не получалось,пришлось друзей просить помочь
вот сделал

 

[Кирилл]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Удалите папку c:\frst

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


Исправьте:

Автоматическое обновление отключено
TeamViewer 11 v.11.0.73909 Внимание! Скачать обновления
VLC media player 1.1.10 v.1.1.10 Внимание! Скачать обновления
Adobe Flash Player 14 ActiveX & Plugin 32-bit v.14.0.0.125 Внимание! Скачать обновления
^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^
Adobe Flash Player 24 PPAPI v.24.0.0.194 Внимание! Скачать обновления
Google Chrome v.49.0.2623.112 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Opera Stable 36.0.2130.80 v.36.0.2130.80 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^



Выполните рекомендации после лечения.