Решена - backspace@riseup.net_256 зашифровал фото на ноуте.

Товарищ принес ноут с подцепленной заразой в негритянском обличии.
Система Win7 Домашняя расширенная.
Просьба помочь.

http://rghost.ru/51551913
http://rghost.ru/51551939
http://rghost.ru/51551955

 

Доброго времени суток!

1. В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код:

;uVS v3.81.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\ШАПКИН МИХАИЛ\APPDATA\ROAMING\UWIBVU\PEXO.EXE
bl CB32A3FD3000EAAE34D99FAE6786CAAC 1273984
delall %SystemDrive%\USERS\ШАПКИН МИХАИЛ\APPDATA\ROAMING\UWIBVU\PEXO.EXE
zoo %SystemDrive%\USERS\ШАПКИН МИХАИЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\PIC.BMP
delall %SystemDrive%\USERS\ШАПКИН МИХАИЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\PIC.BMP
zoo %SystemDrive%\USERS\ШАПКИН МИХАИЛ\APPDATA\LOCAL\TEMP\RADBBC07.TMP.EXE
bl 4302C151932117B12EBC12FD5FA41908 143360
delall %SystemDrive%\USERS\ШАПКИН МИХАИЛ\APPDATA\LOCAL\TEMP\RADBBC07.TMP.EXE
delref HTTP://IE.REDIRECT.HP.COM/SVS/RDR?TYPE=3&TP=IEHOME&LOCALE=RU_RU&C=94&BD=PAVILION&PF=CNNB
regt 3
regt 12
regt 18
deltmp
delnfr
restart

И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

В папке с программой UVS будет папка zoo, ее поместить в архив,
установить пароль virus и прислать сюда sendvirus2011@gmail.com

2. Cделайте лог MBAM (подробнее) и
дайте ссылку на файл лога.*выполнять обязательно!
Если лог не открылся, нажмите "Показать Результаты", сохраните отчет и дайте на него ссылку.

Если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его работу -

 

Папку zoo отправил.

Malwarebytes Anti-Malware (Пробная версия) 1.75.0.1300
www.malwarebytes.org

Версия базы данных: v2013.04.04.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Шапкин Михаил :: ШАПКИНМИХАИЛ-ПК [администратор]

Защитный модуль : Включен

12.01.2014 0:19:39
MBAM-log-2014-01-12 (01-18-27).txt

Тип сканирования: Полное сканирование (C:\|D:\|)
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 420920
Времени прошло: 57 минут , 45 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{CD3E32E0-C2BF-9025-8009-C9DD98B2D383} (Trojan.ZbotR.Gen) -> Параметры: "C:\Users\Шапкин Михаил\AppData\Roaming\Uwibvu\pexo.exe" -> Действие не было предпринято.

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 3
C:\M006MM\WinRAR_3.92_Final_Rus\WinRAR 3.92 Rus x32\keygen\Keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
C:\M006MM\WinRAR_3.92_Final_Rus\WinRAR 3.92 Rus x64\keygen\Keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
C:\Users\Шапкин (Trojan.ZbotR.Gen) -> Действие не было предпринято.

(конец)

 

А для расшифровки фотографий теперь писать хакерам?

 

Malwarebytes Anti-Malware (Пробная версия) 1.75.0.1300
www.malwarebytes.org

Версия базы данных: v2013.04.04.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Шапкин Михаил :: ШАПКИНМИХАИЛ-ПК [администратор]

Защитный модуль : Включен

12.01.2014 11:04:45
mbam-log-2014-01-12 (11-04-45).txt

Тип сканирования: Полное сканирование (C:\|D:\|)
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 421198
Времени прошло: 56 минут , 11 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{CD3E32E0-C2BF-9025-8009-C9DD98B2D383} (Trojan.ZbotR.Gen) -> Параметры: "C:\Users\Шапкин Михаил\AppData\Roaming\Uwibvu\pexo.exe" -> Помещено в карантин и успешно удалено.

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 3
C:\M006MM\WinRAR_3.92_Final_Rus\WinRAR 3.92 Rus x32\keygen\Keygen.exe (Trojan.Agent.CK) -> Помещено в карантин и успешно удалено.
C:\M006MM\WinRAR_3.92_Final_Rus\WinRAR 3.92 Rus x64\keygen\Keygen.exe (Trojan.Agent.CK) -> Помещено в карантин и успешно удалено.
C:\Users\Шапкин (Trojan.ZbotR.Gen) -> Помещено в карантин и успешно удалено.

(конец)

 

Написал. Ответили, что нужно отправить им 0,4 биткойна, что соответствует ~350$. Совсем обнаглели.

 

К сожалению, без оригинального дешифратора не обойтись.

Чтобы в будущем уменьшить риск заражения, выполните еще вот это
http://forum.esetnod32.ru/forum9/topic3998/