вирус зашифровал файлы расширением AES256

[_Kalter_]

virusinfo_syscheck.zipvirusinfo_syscure.ziphijackthis.log

[Info_bot]

Уважаемый(ая) _Kalter_, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Админ\appdata\roaming\newsi_2\s_inst.exe','');
 QuarantineFile('C:\Users\Админ\appdata\roaming\newsi_1\s_inst.exe','');
 QuarantineFile('C:\Users\Админ\AppData\Roaming\runWIN\update.exe','');
 QuarantineFile('C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
 QuarantineFile('C:\Users\Админ\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','');
 DeleteFile('C:\Program Files\Google\Chrome\Application\chrome.exe.bat','32');
 DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32');
 DeleteFile('C:\Users\Админ\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32');
 DeleteFile('C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
 DeleteFile('C:\Users\Админ\AppData\Roaming\runWIN\update.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','NewLoadSystemWIN32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','NewRunWIN');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
 DeleteFile('C:\Users\Админ\appdata\roaming\newsi_1\s_inst.exe','32');
 DeleteFile('C:\Users\Админ\appdata\roaming\newsi_2\s_inst.exe','32');
DeleteFileMask('C:\Users\Админ\appdata\roaming\newsi_1', '*', true);
DeleteFileMask('C:\Users\Админ\appdata\roaming\newsi_2', '*', true);
DeleteDirectory('C:\Users\Админ\appdata\roaming\newsi_2');
DeleteDirectory('C:\Users\Админ\appdata\roaming\newsi_1');
DeleteFileMask('C:\Users\Админ\AppData\Roaming\runWIN', '*', true);
DeleteDirectory('C:\Users\Админ\AppData\Roaming\runWIN');
DeleteFileMask('C:\Users\Админ\AppData\Roaming\Mail.RU NewGamesT', '*', true);
DeleteDirectory('C:\Users\Админ\AppData\Roaming\Mail.RU NewGamesT');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте логи RSIT
Сделайте такой лог

[_Kalter_]

если правильно все сделал,вот новые логи CheckBrowserLnk.logrsit.rarvirusinfo_syscheck.zipvirusinfo_syscure.ziphijackthis.log

[thyrex]

Удалите файлы

C:\Program Files\Opera\launcher.exe.bat
C:\Program Files\Mozilla Firefox\firefox.exe.bat

Пересоздавайте ярлыки

C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\Users\Админ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Админ\AppData\Roaming\Microsoft\Windows\S tart Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Админ\AppData\Roaming\Microsoft\Windows\S tart Menu\Programs\Internet Explorer.lnk
C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk

Пофиксите в HiJack

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search

Удалите папки

C:\Users\Админ\AppData\Roaming\Mail.RU NewGamesT
C:\Users\Админ\AppData\Roaming\Microsoft DB
C:\Users\Админ\AppData\Roaming\GemWare
C:\Users\Админ\AppData\Roaming\ICL

Выполните скрипт в AVZ

Код:

begin
ExecuteREpair(9); 
RebootWindows(false);
end.

Компьютер перезагрузится.

Сделайте новые логи RSIT

[_Kalter_]

1.файл C:\Program Files\Opera\launcher.exe.bat - не был найден, присутствует C:\Program Files\Opera\launcher.exe - удалять?
файл C:\Program Files\Mozilla Firefox\firefox.exe.bat -не был найден (папка Mozilla Firefox пуста - удалил)
2.пересоздал ярлыки opera и chrome; Mozilla Firefox - нет (по отсутствию)
последние 4 адреса не находит
3.что значить профиксить и как?
4.указанные папки по адресу C:\Users\Админ\AppData\Roaming удалены успешно
5.авз пока не скриптил

- - - - -Добавлено - - - - -

1.файл C:\Program Files\Opera\launcher.exe.bat - не был найден, присутствует C:\Program Files\Opera\launcher.exe - удалять?
файл C:\Program Files\Mozilla Firefox\firefox.exe.bat -не был найден (папка Mozilla Firefox пуста - удалил)
2.пересоздал ярлыки opera и chrome; Mozilla Firefox - нет (по отсутствию)
последние 4 адреса не находит
3.что значить профиксить и как?
4.указанные папки по адресу C:\Users\Админ\AppData\Roaming удалены успешно
5.авз пока не скриптил

[thyrex]

файл C:\Program Files\Opera\launcher.exe.bat

Возможно он скрыт

что значить профиксить и как?

http://virusinfo.info/showthread.php?t=4491

[_Kalter_]

пп. 4.;5. выполнены

[mike 1]

Пришлите несколько зашифрованных файлов.

[_Kalter_]

как то так

[mike 1]

Пришлите зашифрованный doc файл.

[mike 1]

Информация

Внимание! Данный дешифратор предназначен только для пользователя _Kalter_
Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется

Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов.

Дешифратор

Принцип работы с дешифратором:

1. Сохраните дешифратор в отдельную созданную папку.

2. Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 10
• В ходе лечения вредоносные программы в карантинах не обнаружены