[Nikki 2]

Логи прилагаю

[vvvyg]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 QuarantineFile('C:\Users\Юра\AppData\Roaming\ftrsegrb\urbssdcu.exe', '');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 QuarantineFileF('C:\Users\Юра\AppData\Roaming\ftrsegrb', '*', true, '', 0, 0, '', '', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 DeleteFile('C:\Users\Юра\AppData\Roaming\ftrsegrb\urbssdcu.exe', '32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job', '64');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job', '64');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job', '64');
 DeleteFile('C:\Windows\Tasks\NAXDF.job', '64');
 DeleteFile('C:\Windows\Tasks\NKWRMO.job', '64');
 DeleteFileMask('C:\Users\Юра\AppData\Roaming\ftrsegrb', '*', true);
 DeleteDirectory('C:\Users\Юра\AppData\Roaming\ftrsegrb');
 ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP1" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP3" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{2FEC8E8D-5924-4643-8AD7-547AD709CA81}" /F', 0, 15000, true);
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

[Nikki 2]

Всё сделал, логи прилагаю.

Да, много информации потерял файлы стали такими qUxInRfiWl4LXycanjjkJzIzqRlYdQ-RGBBf9E8YMhDrsgW0INsV+nnSIAHcEGbrmCzcn2-HuyIgTgRhnD3wXw==.2769E3BFC10C5193450F.xtbl
Я так понял дешифровать их уже не возможно?
Что можно сделать, чтобы больше подобные шифровальщики не цеплять?


И ещё, как я писал выше, у меня было подключено пять жёстких дисков, когда подцепил вирус, я их отключил, на них тоже информация потеряна? Можно их подключать обратно? Этот вирус у них, где-нибудь в загрузочных секторах не засел?

Браузер Opera у меня как-то странно работает, можно его, как-нибудь проверить?

Файлы README1.txt с текстом

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
2769E3BFC10C5193450F|195|2|9
на электронный адрес decode0098@gmail.com или decode00987@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Можно удалять? Их у меня на каждом диске по 10 штук.

[vvvyg]

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!.

Шифровальщик удалён, данные, скорее всего, расшифровать без автора трояна невозможно.
Если было включено восстановление системы хотя бы на части дисков, можно попробовать найти исходные файлы, посмотрев "Предыдущие версии" в свойствах папок с зашифрованными файлами.

Проблемы браузеров вызваны, видимо, тем, что часть их файлов тоже зашифрованы. Пробуйте переустановку, для IE - обновление до 11-й версии.

Цитата Nikki 2:

Что можно сделать, чтобы больше подобные шифровальщики не цеплять? »

Не тыкать по ссылкам из сомнительных источников, не открывать вложения из писем от неизвестных или вызывающих сомнение адресатов. Часто письма с шифровальщиками приходят от "налоговой", "судебных приставов" и т. п., что у многих вызывает непреодолимое стремление их открыть..

Бэкапы делайте - хотя бы самых важных важных данных, причём, желательно в разных местах - на внешних носителях, сетевых хранилищах, в облаке.

[Nikki 2]

Сделал, только в AdwCleaner есть кнопка очистка, и удалить, я нажимал очистка, правильно? На диске С в AdwCleaner в карантине какие-то файлы остались, их удалять?

Жёсткие диски можно подключать и работать или надо ждать ответа с virusnet?

[regist]

Цитата Nikki 2:

Сделал, только в AdwCleaner есть кнопка очистка, и удалить, я нажимал очистка, правильно? »

правильно, "Удалить" удаляет саму программу.

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Удалить).
• Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

Цитата vvvyg:

Если было включено восстановление системы хотя бы на части дисков, можно попробовать найти исходные файлы, посмотрев "Предыдущие версии" в свойствах папок с зашифрованными файлами. »

подробней читайте здесь.
По поводу расшифровки возможно удастся получить необходимые ключи в результате обыска у автора трояна. Советую прочитать.

Цитата Nikki 2:

Жёсткие диски можно подключать и работать »

можно.

+

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.