В работе - Все важные файлы на вашем компьютере зашифрованы.Файлы *.jpg стали *.jpg.crypto.

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Sergey_STV78, 14 мар 2014.

  1. Sergey_STV78

    Sergey_STV78 Newbie

    Здравствуйте!

    При загрузке ноутбука вылезло информационное окно с содержанием:

    ---------
    ВНИМАНИЕ!!!
    Ваш идентификатор (ID): bbs123584

    Все важные файлы на вашем компьютере зашифрованы.
    Расшифровка средствами антивирусных компаний невозможна.
    Попытки восстановить файлы сторонним утилитами могут привести к необратимому повреждению структуры файла. Прежде чем эксперементировать сделайте копии.
    Если зашифрованная информация представляет для вас ценность свяжитесь с нами по почте: johndoo390@sina.cn и мы сообщим вам как получить ключ расшифровки.
    Проверяйте папку "Спам" сообщения от нас могут попасть туда.
    В случае если вы долго не получаете ответа или предидущий емэйл не доступен свяжитесь с нами по запасному: josephmask240@terra.com
    ---------
    Утилита Curlet нашла и уничтожила 3 Трояна.
    После "присутствия" вируса, при загрузке ноутбука открывается блокнот "desktop.ini" с содержанием
    ---------

    [.ShellClassInfo]
    LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
    ---------
    Файлы *.jpg стали *.jpg.crypto.
    В папках с зашифрованными файлами создались файлы:
    KOD_RAZBLOKIROVKI.txt, KOD_RAZBLOKIROVKI.txt.aesrsa, KOD_RAZBLOKIROVKI.txt.crypto

    Прошу помощи, заранее благодарен, согласно инструкции указываю ссылки на логи:
    1) http://rghost.ru/53051139
    2) http://rghost.ru/53051197
    3) http://rghost.ru/53051221
     
    Sergey_STV78, 14 мар 2014
    #1
  2. oleg

    oleg Expert Вирусоборец

    Доброе время суток!

    1. Отключите антивирус/файрволл.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    Внимание: запомните свои адреса DNS сервера провайдера, по скольку после выполнения скрипта интернет может перестать работать и вам нужно будет ввести эти адреса в настройках протокола TCP\IP(правой кнопкой по подключению по локальной сети - > свойства -> протокол TCP\IP v4 - двойнок клик и вводите Предпочитаемы и альтернативный DNS адреса). Если вы их не знаете - позвоните своему интернет-провайдеру они подскажут.

    3. Выполните скрипт в uVS (как выполнить скрипт):
    Код:
    ;uVS v3.82.1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0

OFFSGNSAVE
delref 0HTTPS://COMCUERRA.COM/THAT/ADDPIC.CREO
delall %SystemDrive%\USERS\COMPAQ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
delall %SystemRoot%\TEMP\~TMP6165064042160126328.TMP
delall /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\WINDOWS\TEMP\7201224 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
delref HTTPS://COMCUERRA.COM/THAT/ADDPIC.CREO
delref 0HTTPS://COMCUERRA.COM/THAT/ADDPIC.CREO
delref HTTP://IE.REDIRECT.HP.COM/SVS/RDR?TYPE=3&TP=IEHOME&LOCALE=RU_RU&C=91&BD=PRESARIO&PF=CNNB
delall %Sys32%\EZUPBHOOK.DLL
setdns DNS Server list\
setdns Беспроводное сетевое соединение\4\{5EA3DAC1-5472-4DC3-A1C6-2BF61A1BC46B}\
setdns Подключение по локальной сети\4\{F22C5B32-6BCF-41D9-8C85-D2664E26BA1E}\
delall %SystemDrive%\PROGRAM FILES\1914\UNINSTALL.EXE
delall %SystemDrive%\PROGRAM FILES\1914\WW1.EXE
delall F:\WINCLON\ADMINTOOL.EXE
delall 3\PROGRAM\INPROCSERV.DLL
delall 3\PROGRAM\SOFFICE.EXE
delall %SystemDrive%\PROGRAM FILES\НОВЫЙ ДИСК\ДАЙВЕР. ТАЙНЫ ПОДВОДНОГО МИРА\OPENAL32.DLL
regt 1
regt 2
regt 12
regt 14
regt 18
regt 20
deltmp
delnfr
restart
    После выполнения скрипта, компьютер будет перезагружен.
    Если после выполнения данного скрипта, перестанет работать интернет, пропишите верные DNS адреса в настройках протокола TCP\IP.

    4. Cделайте лог MBAM и дайте ссылку на файл лога.

    Если форум оказался полезен вам, пожалуйста, поддержите его работу -
     
    Последнее редактирование: 14 мар 2014
    oleg, 14 мар 2014
    #2
  3. Sergey_STV78

    Sergey_STV78 Newbie

    Sergey_STV78, 17 мар 2014
    #3
  4. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Удалить все записи в программе. Перезагрузить ПК.

    Сообщить какие проблемы кроме зашифрованных файлов остались.
     
    zloyDi, 20 мар 2014
    #4
  5. Sergey_STV78

    Sergey_STV78 Newbie

    Здравствуйте!

    Удалил, компьютер перезагрузился.
    Кроме зашифрованных файлов при загрузке ноутбука открывается блокнот "desktop.ini" с содержанием
    ---------

    [.ShellClassInfo]
    LocalizedResourceName=@%SystemRoot%\system32\shell 32.dll,-21787
    ---------

    Жду дальнейших указаний ))) Спасибо!!!
     
    Sergey_STV78, 21 мар 2014
    #5

Поделиться этой страницей