файлы зашифрованы в Ransom 32

Добрый день. Комп поймал вирус. Все файлы перестали открывается. Пишет нельзя прочесть, не поддерживаемый файл или просто иероглифы выдает в ворде. Выскочило окно Ransom 32 с отчетом времени и требование ввести код для дешифровки. Нашел процесс с этим окном удалил и его с компа тоже. Нод 32 нашел вирусы и удалил все, но файлы так и остались зашифрованы. Помогите, кто знает как, расшифровать.1
1. добавьте образ автозапуска
   (ссылка в моей подписи)
2. добавьте несколько зашифрованных файлов.
Изменено: santy - 14.03.2016 16:23:58
Подскажите пожалуйста , как добавить файлы ??
добавить зашифрованные файлы в архив,
залить архив на http://rghost.ru
и дать ссылку на файл архива в вашем сообщении
Зашифрованное фото http://rghost.ru/6vLKRDCzH . Фото на экране которое выскакивало http://rghost.ru/7lKcwbvkb    образ автозапуска http://rghost.ru/7Jy42LcWQ
откуда был запущен шифратор: из электронной почты, или какой-то файл скачали из сети?

если файл сохранился который вы выкачали из сети, добавьте его в архив с паролем infected
и вышлите в почту safety@chklst.ru

или вышлите ссылку в почту. на файл который вы скачали из сети и запустили.
это может быть файл *scr или самораспаковывающийся архив.
Изменено: santy - 14.03.2016 18:11:47
так же добавьте лог журнала обнаружения угроз ESET
http://forum.esetnod32.ru/forum9/topic1408/
Журнал обнаружений http://rghost.ru/main
НА счет шифратора не знаю. Был на работе. Приехал жена показала все, что уже имеем и не нашел от куда запущена была с какого сайта и ничего не было скачано.. Нашел процесс Decvi и удалил и у меня исчезло всплывающее окно http://rghost.ru/7lKcwbvkb
Затем что запускается программа с C:\Users\user\AppData\Roaming\Decvi Safjuh  и удалил папку с программой. Окно больше не вылазит, но файлы так и зашифрованы. Программу эту высылаю на почту Вам.
конечно, программы надо качать с оф. сайтов
https://get.adobe.com/ru/flashplayer/

лог журнала обнаружения угроз я так и не увидел.
Изменено: santy - 14.03.2016 19:04:44
через lnk в стартапе запускался файлик

Цитата
Полное имя                  C:\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP (DISABLED BY STARTER)\DECVI.LNK
Имя файла                   DECVI.LNK
Тек. статус                 [Запускался неявно или вручную]
                           
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
Размер                      970 байт
Создан                      11.03.2016 в 09:15:39
Изменен                     11.03.2016 в 09:20:16
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
Ярлык                       Указывает на отсутствующий объект
TARGET                      C:\USERS\USER\APPDATA\ROAMING\DECVI SAFJUH\DECVI.EXE NJworuUNdkEaSiou67
SHA1                        8EC97C9A1DB20F65AEA5F8283B9B92D9C27B5291
MD5                         E9E1A341C228DBFCAC3226F01AB3A899
                           
этот файл посмотрите
C:\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP (DISABLED BY STARTER)\DECVI.LNK

хотя, без этого файла
C:\USERS\USER\APPDATA\ROAMING\DECVI SAFJUH\DECVI.EXE
ему уже нечего запускать
Изменено: santy - 14.03.2016 19:39:09
Читают тему (гостей: 1)