Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 37.

Зашифрованые файлы вирусом с кодом AES256 (заявка № 168205)

  1. #1
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    19
    Вес репутации
    8

    Thumbs up Зашифрованые файлы вирусом с кодом AES256

    Здравствуйте!!!
    Помогите
    пожалуйста справится с вирусом и расшифровать мои файлы.

    Сегодня заметила
    на компьютере
    , что все мои изображения, музыка, фильм
    ы
    зашифрованы в тип AES256. Также обнаруж
    и
    ла, что на рабочем столе появился ярлык "Онлайн-консультант", при нажатии которого открывается окно с содержанием "Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления. И цена..."
    и также при откр
    ы
    тии фотографий. Что мне делать?

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) Слава Никитина, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,239
    Вес репутации
    1022
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  5. #4
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    19
    Вес репутации
    8
    Добавляю логи:

    - - - - -Добавлено - - - - -

    Что делать дальше???

    - - - - -Добавлено - - - - -

    - - - - -Добавлено - - - - -

    Зараженные и зашифрованные файлы загрузила на dropbox https://www.dropbox.com/sh/bsm1mju7fm238vl/AABHc1aNKMyBnVn_5UN0a1E-a?dl=0

    - - - - -Добавлено - - - - -

    Зашифрованные фото:
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,239
    Вес репутации
    1022
    C:\Users\Admin\AppData\Local\Temp\Rar$EXa0.155\avz 4\avz.exe
    C:\Users\Admin\AppData\Local\Temp\Rar$EXa0.962\avz 4\avz.exe
    Архив кто будет распаковывать перед тем как запускать утилиту? Переделывайте логи AVZ.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  7. #6
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    19
    Вес репутации
    8
    Сделала

    - - - - -Добавлено - - - - -

    Что делать дальше???

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,239
    Вес репутации
    1022
    c:\users\admin\appdata\local\temp\rar$exa0.155\avz 4\avz.exe
    Еще раз архив нужно распаковать перед запуском утилиты!!!
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  9. #8
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    19
    Вес репутации
    8
    А так??

    - - - - -Добавлено - - - - -

    Или

    - - - - -Добавлено - - - - -

    Извините пожалуйста если что-то не так как надо делаю, просто я с этим сталкиваюсь впервые. Я читала инструкцию и распаковала как Вы и писали, если обратно не правильно, можете описать подробнее как его распаковывать надо.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,239
    Вес репутации
    1022
    И какие из этой каши логов смотреть?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  11. #10
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    19
    Вес репутации
    8
    Думаю, последние...

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,239
    Вес репутации
    1022
    Command line:
    "C:\Users\Admin\AppData\Local\Temp\Rar$EXa0.986\av z4\avz.exe"
    Судя по логу опять утилиту запускали из архива.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  13. #12
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    19
    Вес репутации
    8
    Ничего не понимаю, почему так. Я из архива извлекла в папку и оттуда уже запускала от имени администратора

    - - - - -Добавлено - - - - -

    И что же мне тогда делать?

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,239
    Вес репутации
    1022
    Попробуйте сделать логи по этой http://virusinfo.info/showthread.php?t=121951 инструкции.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  15. #14
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    19
    Вес репутации
    8
    Делала все по видеоинструкцыи
    Вложения Вложения

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,239
    Вес репутации
    1022
    Вот теперь правильно все сделали.

    Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1412609777&from=exp&uid=SAMSUNGXHM641JI_S25YJDNZ901024
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f274c2a5f38c6ea9285de942a0aa00b8&text={searchTerms}
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f274c2a5f38c6ea9285de942a0aa00b8&text={searchTerms}
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1412609777&from=exp&uid=SAMSUNGXHM641JI_S25YJDNZ901024
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1412609777&from=exp&uid=SAMSUNGXHM641JI_S25YJDNZ901024&q={searchTerms}
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1412609777&from=exp&uid=SAMSUNGXHM641JI_S25YJDNZ901024&q={searchTerms}
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1412609777&from=exp&uid=SAMSUNGXHM641JI_S25YJDNZ901024
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://istart.webssearches.com/web/?type=ds&ts=1412609777&from=exp&uid=SAMSUNGXHM641JI_S25YJDNZ901024&q={searchTerms}
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://istart.webssearches.com/web/?type=ds&ts=1412609777&from=exp&uid=SAMSUNGXHM641JI_S25YJDNZ901024&q={searchTerms}
    R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
    O2 - BHO: Music Search App (Dist. by Bandoo Media, Inc.) - {88d8ecb7-204f-4efd-8134-f6341f76c672} - C:\PROGRA~2\MUSICA~1\Datamngr\SRTOOL~1\IE\searchresultsDx.dll
    O3 - Toolbar: Music Search App (Dist. by Bandoo Media, Inc.) - {88d8ecb7-204f-4efd-8134-f6341f76c672} - C:\PROGRA~2\MUSICA~1\Datamngr\SRTOOL~1\IE\searchresultsDx.dll
    O4 - HKLM\..\Run: [Schedule] "C:\ProgramData\Schedule\timetasks.exe"
    O4 - HKCU\..\Run: [baidu] C:\Program Files (x86)\baidu\BindEx.exe
    O4 - HKCU\..\Run: [LoaderSystemWIN] C:\Users\Admin\AppData\Roaming\runWIN\Update.exe
    O4 - HKCU\..\Run: [RuningWIN32] C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe
    O4 - HKCU\..\Run: [NewLoadSystemWIN32] C:\Users\Admin\AppData\Roaming\runWIN\update.exe
    O4 - HKCU\..\Run: [Encrypt] C:\Users\Admin\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe
    O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f274c2a5f38c6ea9285de942a0aa00b8&text=
    Скачайте ComboFix здесь и сохраните в корень диска С.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  17. #16
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    19
    Вес репутации
    8
    Хуу, наконец-то))

    - - - - -Добавлено - - - - -

    Сделала, что дальше?
    Вложения Вложения

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,239
    Вес репутации
    1022
    Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\drivers\BDMWrench.sys
    c:\windows\system32\bd64_x64.dll
    c:\windows\system32\bd64_x86.dll
    c:\windows\system32\drivers\BDArKit.sys
    c:\windows\system32\drivers\bd0001.sys
    c:\windows\system32\drivers\{2f0ff925-183b-4210-98f5-cb2ffd917f2b}Gw64.sys
    c:\windows\system32\drivers\BDSafeBrowser.sys
    c:\windows\system32\drivers\bd0004.sys
    c:\windows\system32\drivers\bd0001_1.sys
    c:\windows\system32\DRIVERS\BDMWrench_x64.sys
    
    Driver::
    BDMWrench_x64
    BDSafeBrowser
    {2f0ff925-183b-4210-98f5-cb2ffd917f2b}Gw64
    bd0004
    BDMWrench
    BDArKit
    BDSGRTP
    IePluginServices
    
    Folder::
    c:\users\Admin\AppData\Roaming\FirefoxToolbar
    c:\program files (x86)\Music App
    c:\programdata\Datamngr
    c:\users\Admin\AppData\Roaming\Mail.RU NewGamesT
    c:\users\Admin\AppData\Roaming\Microsoft DB
    c:\users\Admin\AppData\Roaming\SupTab
    c:\program files (x86)\SupTab
    c:\programdata\IePluginServices
    c:\users\Admin\AppData\Roaming\337Games
    c:\users\Admin\AppData\Roaming\webssearches
    c:\program files (x86)\Adanak
    c:\users\Admin\AppData\Roaming\GoforFiles
    c:\program files (x86)\GoForFiles
    c:\users\Admin\AppData\Roaming\GemWare
    c:\users\Admin\AppData\Roaming\ICL
    c:\users\Admin\AppData\Roaming\Baidu
    c:\program files (x86)\Common Files\Baidu
    c:\programdata\Baidu
    c:\program files (x86)\baidu
    c:\users\Admin\AppData\Roaming\eTranslator
    c:\users\Admin\AppData\Roaming\bafhhmlkbcigapgkfdgfikhkkaihpjjn
    c:\program files (x86)\Twilight Tech
    c:\users\Admin\AppData\Roaming\cload2
    
    
    Registry::
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\~\Browser Helper Objects\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}]
    
    FileLook::
    
    DirLook::
    
    Reboot::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  19. #18
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    19
    Вес репутации
    8
    Я не могу прикрепить новый отчет ComboFix.txt, потому что нету места на менеджере вложений, как его освободить?

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,239
    Вес репутации
    1022
    как его освободить?
    Мой кабинет => Вложения
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  21. #20
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    19
    Вес репутации
    8
    О, спасибо)

    - - - - -Добавлено - - - - -

    Что дальше?
    Вложения Вложения

  • Уважаемый(ая) Слава Никитина, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Зашифрованные файлы вирусом, все стало с расширением AES256
      От Виталия Пазынич в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 15.10.2014, 16:23
    2. все файлы зашифрованы вирусом AES256
      От olga4960 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 13.10.2014, 21:35
    3. Зашифрованые файлы (.ARRESTED)
      От Hirosan в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.07.2013, 01:10
    4. Зашифрованые файлы (.ARRESTED)
      От DrUsama в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.07.2013, 01:06
    5. Зашифрованые файлы.
      От Svetilka в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.04.2013, 22:51

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01223 seconds with 21 queries