Зашифровались файлы Better Call Saul - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Зашифровались файлы Better Call Saul (http://forum.oszone.net/showthread.php?t=313777)

Зашифровались файлы Better Call Saul

Добрый день! Очень прошу мне помочь... Открыла письмо по почте. Теперь все файлы зашифрованы. Вирус Better Call Saul. CollectionLog-2016.04.12-16.24.zip - ZIP архив, размер исходных файлов 237*223 байт.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFileF('c:\users\елена\appdata\local\yzpack', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);

 QuarantineFileF('c:\program files\homepagedefender', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);

 QuarantineFileF('c:\users\елена\appdata\local\oxmics', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);

 QuarantineFileF('c:\users\елена\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);

 QuarantineFileF('c:\program files\suptab', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);

 QuarantineFile('c:\users\Елена\appdata\local\yzpack\a44daa0e.exe', '');

 QuarantineFile('c:\program files\homepagedefender\hpdefsrv.exe', '');

 QuarantineFile('C:\Users\Елена\AppData\Local\Oxmics\SmartTst.dll', '');

 QuarantineFile('C:\Users\Елена\AppData\Local\Hostinstaller\214575942_installcube.exe', '');

 QuarantineFile('C:\Program Files\suptab\search~2.dll', '');

 QuarantineFile('C:\Users\Елена\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk', '');

 QuarantineFile('C:\Users\Елена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');

 QuarantineFile('C:\Users\Елена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', '');

 QuarantineFile('C:\Users\Елена\Desktop\Программы\Google Chrome.lnk', '');

 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk', '');

 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Элементы Яндекса\Страница Элементов Яндекса для Internet Explorer.lnk', '');

 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);

 DeleteFile('c:\users\Елена\appdata\local\yzpack\a44daa0e.exe', '32');

 DeleteFile('c:\program files\homepagedefender\hpdefsrv.exe', '32');

 DeleteFile('C:\Users\Елена\AppData\Local\Oxmics\SmartTst.dll', '32');

 DeleteFile('C:\Users\Елена\AppData\Local\Hostinstaller\214575942_installcube.exe', '32');

 DeleteFile('C:\Program Files\suptab\search~2.dll', '32');

 DeleteFileMask('c:\users\елена\appdata\local\yzpack', '*', true);

 DeleteFileMask('c:\program files\homepagedefender', '*', true);

 DeleteFileMask('c:\users\елена\appdata\local\oxmics', '*', true);

 DeleteFileMask('c:\users\елена\appdata\local\hostinstaller', '*', true);

 DeleteFileMask('c:\program files\suptab', '*', true);

 DeleteDirectory('c:\users\елена\appdata\local\yzpack');

 DeleteDirectory('c:\program files\homepagedefender');

 DeleteDirectory('c:\users\елена\appdata\local\oxmics');

 DeleteDirectory('c:\users\елена\appdata\local\hostinstaller');

 DeleteDirectory('c:\program files\suptab');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YZPack');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Oxmics');

 DeleteService('HomePageDefender Service');

BC_ImportALL;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Удалите параметры запуска ярлыков.

Подготовьте лог AdwCleaner.

Не знаю, все ли правильно сделала... Отправляю отчет ClearLNK-<Дата>.log

Отправляю лог AdwCleaner

Отправляю лог AdwCleaner.

Что нужно делать дальше???

Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите.

А в настройках галочки снимать? Там есть две галочки Удалить Traсing ключи и Сброс настроек Winsock ....

Цитата:

Цитата regist, post: 157088, member: 3684

* если консультант не указал строчки с которых надо снять галочку, то пропустите этот пункт.

///

Удаление сделала. Отправляю отчет.

Отлично. Теперь Подготовьте логи FRST

Сейчас, уже делаю...

Просканировала! Почему создалось только два отчета... Отправляю..

Нашла третий в другом месте.. Отправляю..

Выполните скрипт в Farbar Recovery Scan Tool

Код:

start

CreateRestorePoint:

Mail.Ru Агент 6.3 (сборка 8065) (HKU\S-1-5-21-2696400509-195554733-1256058888-1000\...\MRA) (Version: 6.3.8065.0 - Mail.Ru) <==== ATTENTION

ShortcutWithArgument: C:\Users\Елена\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mail.ru

AlternateDataStreams: C:\ProgramData\TEMP:4D348522 [143]

AlternateDataStreams: C:\ProgramData\TEMP:596E986D [120]

AlternateDataStreams: C:\Users\Все пользователи\TEMP:4D348522 [143]

AlternateDataStreams: C:\Users\Все пользователи\TEMP:596E986D [120]

AlternateDataStreams: C:\Users\Елена\Local Settings:wa [146]

AlternateDataStreams: C:\Users\Елена\AppData\Local:wa [146]

AlternateDataStreams: C:\Users\Елена\AppData\Local\Application Data:wa [146]

FirewallRules: [{9FA052F2-BDFD-41FA-9307-78F4A0BF3335}] => (Allow) C:\Users\Елена\AppData\Roaming\Mail.Ru\Agent\magent.exe

FirewallRules: [{D9110C1E-9714-4AEE-8C30-EE88478FC99B}] => (Allow) C:\Users\Елена\AppData\Roaming\Mail.Ru\Agent\magent.exe

FirewallRules: [TCP Query User{7AAF079A-1507-4052-9572-9201031E3837}C:\users\елена\appdata\local\temp\uttec72.tmp.exe] => (Allow) C:\users\елена\appdata\local\temp\uttec72.tmp.exe

FirewallRules: [UDP Query User{D10A80CD-1015-44A8-A8B8-0963F2DC64C9}C:\users\елена\appdata\local\temp\uttec72.tmp.exe] => (Allow) C:\users\елена\appdata\local\temp\uttec72.tmp.exe

FirewallRules: [TCP Query User{BEEC2730-F019-4B98-9F40-70ABDEAF3017}C:\users\елена\appdata\local\temp\utt2790.tmp.exe] => (Allow) C:\users\елена\appdata\local\temp\utt2790.tmp.exe

FirewallRules: [UDP Query User{CFE59AA7-46C8-4710-A54B-841AF3E25250}C:\users\елена\appdata\local\temp\utt2790.tmp.exe] => (Allow) C:\users\елена\appdata\local\temp\utt2790.tmp.exe

FirewallRules: [{E832C3B5-63EE-49EA-AE3E-A569A94A8600}] => (Allow) C:\Users\Елена\AppData\Local\Temp\is-I1VAU.tmp\setup8061.tmp

FirewallRules: [{4B17D6C9-159A-40D5-A1E7-D12AE224F816}] => (Allow) C:\Users\Елена\AppData\Local\Temp\is-I1VAU.tmp\setup8061.tmp

FirewallRules: [{7D56F5CA-1979-44A7-8BD6-471057A287A9}] => (Allow) C:\Users\Елена\AppData\Local\Temp\is-T7QIO.tmp\setup32601.tmp

FirewallRules: [{48A56D43-2282-403A-9082-9F774852D64A}] => (Allow) C:\Users\Елена\AppData\Local\Temp\is-T7QIO.tmp\setup32601.tmp

CHR HKLM\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [noecaidkfpaionjdebbkoehapefchmjj] - C:\ProgramData\Wondershare\Player\BHO@Wondershare.com.crx <not found>

CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx

C:\Users\Елена\AppData\Local\Temp\A44DAA0E.exe

C:\Users\Елена\AppData\Local\Temp\AmigoDistrib.exe

C:\Users\Елена\AppData\Local\Temp\EF60.tmp.exe

Reboot:

end

+
Почистите кэш и куки в браузерах.

У меня не открывается сохранение как fixlist.txt. Открывается только два вида сохранения: Текстовые документы и Все файлы. И ФАРБАР не считывает такой файл. Что делать?

Сделайте так:

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Цитата:

Advanced SystemCare 8
Free VPN version 3.2
IObit Uninstaller
Surfing Protection

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

start

CreateRestorePoint:

CloseProcesses:

S2 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-07-29] (IObit)

2016-04-12 14:24 - 2016-04-12 14:24 - 00000000 ____D C:\Users\Елена\AppData\Roaming\ProductData

2016-04-12 14:22 - 2016-04-12 14:23 - 00000000 ____D C:\Users\Все пользователи\IObit

2016-04-12 14:22 - 2016-04-12 14:23 - 00000000 ____D C:\ProgramData\IObit

2016-04-12 14:22 - 2016-04-12 14:22 - 00001146 _____ C:\Users\Public\Desktop\IObit Uninstaller.lnk

2016-04-12 14:22 - 2016-04-12 14:22 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled

2016-04-12 14:22 - 2016-04-12 14:22 - 00000000 ____D C:\Users\Елена\AppData\LocalLow\IObit

2016-04-12 14:22 - 2016-04-12 14:22 - 00000000 ____D C:\Users\Все пользователи\ProductData

2016-04-12 14:22 - 2016-04-12 14:22 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}

2016-04-12 14:22 - 2016-04-12 14:22 - 00000000 ____D C:\ProgramData\ProductData

2016-04-12 14:22 - 2016-04-12 14:22 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Uninstaller

2016-04-12 14:22 - 2016-04-12 14:22 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}

2016-04-12 14:22 - 2016-04-12 14:22 - 00000000 ____D C:\Program Files\Common Files\IObit

2016-04-12 14:21 - 2016-04-12 14:22 - 00000000 ____D C:\Users\Елена\AppData\Roaming\IObit

2016-04-12 14:21 - 2016-04-12 14:22 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced SystemCare 8

2016-04-12 14:21 - 2016-04-12 14:22 - 00000000 ____D C:\Program Files\IObit

2016-04-12 14:21 - 2016-04-12 14:21 - 00000000 ____D C:\Users\Елена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго

2016-04-12 14:21 - 2016-04-12 14:21 - 00000000 ____D C:\Users\Елена\AppData\Local\Unity

2016-04-12 14:20 - 2016-04-12 14:20 - 00000000 ____D C:\Users\Елена\AppData\LocalLow\Unity

2016-04-12 14:18 - 2016-04-12 14:18 - 00000960 _____ C:\Users\Public\Desktop\Free VPN.lnk

2016-04-12 14:18 - 2016-04-12 14:18 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free VPN

2016-04-12 14:18 - 2016-04-12 14:18 - 00000000 ____D C:\Program Files\Free VPN

2016-04-12 10:23 - 2016-04-12 20:54 - 00000000 ____D C:\Users\Елена\AppData\Local\YZPack

2016-04-12 10:22 - 2016-04-12 10:22 - 02359350 _____ C:\Users\Елена\AppData\Roaming\E5B25203E5B25203.bmp

2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Елена\Desktop\README9.txt

2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Елена\Desktop\README8.txt

2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Елена\Desktop\README7.txt

2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Елена\Desktop\README6.txt

2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Елена\Desktop\README5.txt

2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Елена\Desktop\README4.txt

2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Елена\Desktop\README3.txt

2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Елена\Desktop\README2.txt

2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Елена\Desktop\README10.txt

2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Елена\Desktop\README1.txt

2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Public\Desktop\README9.txt

2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Public\Desktop\README8.txt

2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Public\Desktop\README7.txt

2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Public\Desktop\README6.txt

2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Public\Desktop\README5.txt

2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Public\Desktop\README4.txt

2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Public\Desktop\README3.txt

2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Public\Desktop\README2.txt

2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Public\Desktop\README10.txt

2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Public\Desktop\README1.txt

2016-04-12 09:32 - 2016-04-12 09:32 - 00002071 _____ C:\README9.txt

2016-04-12 09:32 - 2016-04-12 09:32 - 00002071 _____ C:\README8.txt

2016-04-12 09:32 - 2016-04-12 09:32 - 00002071 _____ C:\README7.txt

2016-04-12 09:32 - 2016-04-12 09:32 - 00002071 _____ C:\README6.txt

2016-04-12 09:32 - 2016-04-12 09:32 - 00002071 _____ C:\README5.txt

2016-04-12 09:32 - 2016-04-12 09:32 - 00002071 _____ C:\README4.txt

2016-04-12 09:32 - 2016-04-12 09:32 - 00002071 _____ C:\README3.txt

2016-04-12 09:32 - 2016-04-12 09:32 - 00002071 _____ C:\README2.txt

2016-04-12 09:32 - 2016-04-12 09:32 - 00002071 _____ C:\README10.txt

2016-04-12 09:32 - 2016-04-12 09:32 - 00002071 _____ C:\README1.txt

2016-04-12 09:31 - 2016-04-12 14:58 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-04-12 09:31 - 2016-04-12 14:58 - 00000000 __SHD C:\ProgramData\Windows

C:\Users\Елена\AppData\Local\Temp\1_flashplayer.exe

C:\Users\Елена\AppData\Local\Temp\2_flashplayer.exe

C:\Users\Елена\AppData\Local\Temp\3_flashplayer.exe

C:\Users\Елена\AppData\Local\Temp\4_flashplayer.exe

C:\Users\Елена\AppData\Local\Temp\5_m44pqr.dll

C:\Users\Елена\AppData\Local\Temp\A44DAA0E.exe

C:\Users\Елена\AppData\Local\Temp\AmigoDistrib.exe

C:\Users\Елена\AppData\Local\Temp\EF60.tmp.exe

C:\Users\Елена\AppData\Local\Temp\FreeVPNSetup.exe

C:\Users\Елена\AppData\Local\Temp\iobitdownloader_123.exe

C:\Users\Елена\AppData\Local\Temp\libeay32.dll

C:\Users\Елена\AppData\Local\Temp\mailruhomesearch.exe

C:\Users\Елена\AppData\Local\Temp\MailRuUpdater.exe

C:\Users\Елена\AppData\Local\Temp\msvcr120.dll

C:\Users\Елена\AppData\Local\Temp\oct9CB4.tmp.exe

C:\Users\Елена\AppData\Local\Temp\seartchil-swd.ru_RU.exe

Task: {2BC35B55-53D9-4491-A52D-56D13EC01C87} - System32\Tasks\MailRuUpdateTask => C:\Users\Елена\AppData\Local\Mail.Ru\MailRuUpdater.exe

Task: {3D709F4A-0FFE-4433-88D3-E775F135B7AD} - System32\Tasks\Uninstaller_SkipUac_Елена => C:\Program Files\IObit\IObit Uninstaller\IObitUninstaler.exe [2015-05-20] (IObit)

Task: {AA6C04CE-C2BF-4655-AD72-42D7856C341F} - System32\Tasks\MailRuUpdater => C:\Users\Елена\AppData\Local\Mail.Ru\MailRuUpdater.exe

AlternateDataStreams: C:\Users\Елена\Local Settings:wa [146]

AlternateDataStreams: C:\Users\Елена\AppData\Local:wa [146]

AlternateDataStreams: C:\Users\Елена\AppData\Local\Application Data:wa [146]

FirewallRules: [{E832C3B5-63EE-49EA-AE3E-A569A94A8600}] => (Allow) C:\Users\Елена\AppData\Local\Temp\is-I1VAU.tmp\setup8061.tmp

FirewallRules: [{4B17D6C9-159A-40D5-A1E7-D12AE224F816}] => (Allow) C:\Users\Елена\AppData\Local\Temp\is-I1VAU.tmp\setup8061.tmp

FirewallRules: [{7D56F5CA-1979-44A7-8BD6-471057A287A9}] => (Allow) C:\Users\Елена\AppData\Local\Temp\is-T7QIO.tmp\setup32601.tmp

FirewallRules: [{48A56D43-2282-403A-9082-9F774852D64A}] => (Allow) C:\Users\Елена\AppData\Local\Temp\is-T7QIO.tmp\setup32601.tmp

FirewallRules: [{1CE1B4D7-9416-49B8-B1B6-F2980A9772CA}] => (Allow) C:\Program Files\Mobogenie3\mobogenieP2sp.exe

FirewallRules: [{2F5C9A21-287C-4884-BA2D-B79464EE8E4D}] => (Allow) C:\Program Files\Mobogenie3\mobogenieP2sp.exe

Reboot:

end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Все удалила... Но все равно сохранение как fixlist.txt не открывается... Только как Все файлы и Текстовые документы... fixlist.txt это тип файла или имя файла? Уже и как имя вводила... Не берет...

А сохранить как Безымянный.txt - позволяет? Если да, сохраните так, затем переименуйте.

Отправляю скриншоты последовательности сохранения. Сам файл вроде сохраняется. Но ФАРБАР его не воспринимает.

Ясно)
Файл fixlist.txt положите рядом с исполняемым файлом frst64.exe (т.е. рядом с самой утилитой)

Простите, но у меня в папке нет такого файла. У меня 32-й скачан... Или надо сюда? См. скриншот. Но все равно не запускается.

Речь идет не о папке C:\FRST, а о той папке, в которой лежит сама утилита. Её Вы запускали для создания логов. Точнее - Загрузки (Downloads)

Цитата:

C:\Users\Елена\Downloads\FRST.exe

В Загрузках тоже такой папки нет. Я ее не удаляла. Сейчас попробовала закачать заново. В загрузках отражается только Ярлык, который открывает сразу сканирование.

Загрузки - это и есть папка, в которой лежит утилита FRST.exe
Положите рядом с ней файл fixlist.txt и запустите frst.exe

Отправляю скриншоты Загрузок. Видно , в каком виде отражается загрузка. При открывании значка, открывается вопрос Запустить. Затем уже окно со сканированием. Больше ничего нет. Как таковой ПАПКИ нет.

Все правильно. Сейчас созданный Вами файл fixlist.txt скопируйте в Загрузки и нажмите кнопку Fix (Ваша картинка №9)

Браво, ребята!!!! Вы огромные молодцы!! Пропала надпись на экране!!!! Что делать дальше?

Увы, Вы рано радуетесь.

Если Восстановление системы было включено ДО заражения, пробуйте восстановить средствами Windows.
Прочтите тему внимательно, если что будет не понятно, спрашивайте.

Цитата:

Цитата Sandor

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению »

Это тоже не забудьте.

Я восстанавливала ранее систему не один раз. Но после заражения все точки восстановления пропали.

Цитата:

Цитата Sandor

Прочтите тему внимательно »

Прочли? Раздел

Цитата:

Как восстановить предыдущие версии файлов после их повреждения?

Это каждый документ надо так восстанавливать? А есть ли список поврежденных файлов или их надо разыскивать?

Цитата:

Цитата Simonenkoele

каждый документ надо так восстанавливать? »

Да.

Дело в том, что я пыталась восстановить систему после обнаружения этой гидры. И сейчас есть только эта предыдущая версия восстановления. Наверное будет проще удалить все эти файлы. Их удаление не повредит системе?

Система сейчас в порядке. Новые файлы шифроваться не будут. Если Вы решили удалить пострадавшие файлы, сделайте завершающие шаги:

1.

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.

2.

Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Ребята!!! Огромное спасибо за помощь... Помогли "бабушке - старушке" ( мне 64 года)... Без Вас я бы не справилась! Спасибо за терпение и внимание!!! Если в продолжение этого разговора что-то пойдет не так, можно будет к Вам обратиться в этой же теме?

Да, пожалуйста.

Только проделайте п.2 из предыдущего моего сообщения и приложите отчет.

Я пока не решила как поступить... Скорее всего это произойдет завтра... Отчет обязательно пришлю!