Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 37.

Зашифрованые файлы вирусом с кодом AES256 (заявка № 168205)

  1. #1
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    19
    Вес репутации
    35

    Thumbs up Зашифрованые файлы вирусом с кодом AES256

    Здравствуйте!!!
    Помогите
    пожалуйста справится с вирусом и расшифровать мои файлы.

    Сегодня заметила
    на компьютере
    , что все мои изображения, музыка, фильм
    ы
    зашифрованы в тип AES256. Также обнаруж
    и
    ла, что на рабочем столе появился ярлык "Онлайн-консультант", при нажатии которого открывается окно с содержанием "Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления. И цена..."
    и также при откр
    ы
    тии фотографий. Что мне делать?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Слава Никитина, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. #4
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    19
    Вес репутации
    35
    Добавляю логи:

    - - - - -Добавлено - - - - -

    Что делать дальше???

    - - - - -Добавлено - - - - -

    - - - - -Добавлено - - - - -

    Зараженные и зашифрованные файлы загрузила на dropbox https://www.dropbox.com/sh/bsm1mju7fm238vl/AABHc1aNKMyBnVn_5UN0a1E-a?dl=0

    - - - - -Добавлено - - - - -

    Зашифрованные фото:
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    C:\Users\Admin\AppData\Local\Temp\Rar$EXa0.155\avz 4\avz.exe
    C:\Users\Admin\AppData\Local\Temp\Rar$EXa0.962\avz 4\avz.exe
    Архив кто будет распаковывать перед тем как запускать утилиту? Переделывайте логи AVZ.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  7. #6
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    19
    Вес репутации
    35
    Сделала

    - - - - -Добавлено - - - - -

    Что делать дальше???

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    c:\users\admin\appdata\local\temp\rar$exa0.155\avz 4\avz.exe
    Еще раз архив нужно распаковать перед запуском утилиты!!!
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  9. #8
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    19
    Вес репутации
    35
    А так??

    - - - - -Добавлено - - - - -

    Или

    - - - - -Добавлено - - - - -

    Извините пожалуйста если что-то не так как надо делаю, просто я с этим сталкиваюсь впервые. Я читала инструкцию и распаковала как Вы и писали, если обратно не правильно, можете описать подробнее как его распаковывать надо.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    И какие из этой каши логов смотреть?
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  11. #10
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    19
    Вес репутации
    35
    Думаю, последние...

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Command line:
    "C:\Users\Admin\AppData\Local\Temp\Rar$EXa0.986\av z4\avz.exe"
    Судя по логу опять утилиту запускали из архива.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  13. #12
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    19
    Вес репутации
    35
    Ничего не понимаю, почему так. Я из архива извлекла в папку и оттуда уже запускала от имени администратора

    - - - - -Добавлено - - - - -

    И что же мне тогда делать?

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Попробуйте сделать логи по этой http://virusinfo.info/showthread.php?t=121951 инструкции.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  15. #14
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    19
    Вес репутации
    35
    Делала все по видеоинструкцыи
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Вот теперь правильно все сделали.

    Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1412609777&from=exp&uid=SAMSUNGXHM641JI_S25YJDNZ901024
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f274c2a5f38c6ea9285de942a0aa00b8&text={searchTerms}
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f274c2a5f38c6ea9285de942a0aa00b8&text={searchTerms}
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1412609777&from=exp&uid=SAMSUNGXHM641JI_S25YJDNZ901024
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1412609777&from=exp&uid=SAMSUNGXHM641JI_S25YJDNZ901024&q={searchTerms}
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1412609777&from=exp&uid=SAMSUNGXHM641JI_S25YJDNZ901024&q={searchTerms}
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1412609777&from=exp&uid=SAMSUNGXHM641JI_S25YJDNZ901024
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://istart.webssearches.com/web/?type=ds&ts=1412609777&from=exp&uid=SAMSUNGXHM641JI_S25YJDNZ901024&q={searchTerms}
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://istart.webssearches.com/web/?type=ds&ts=1412609777&from=exp&uid=SAMSUNGXHM641JI_S25YJDNZ901024&q={searchTerms}
    R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
    O2 - BHO: Music Search App (Dist. by Bandoo Media, Inc.) - {88d8ecb7-204f-4efd-8134-f6341f76c672} - C:\PROGRA~2\MUSICA~1\Datamngr\SRTOOL~1\IE\searchresultsDx.dll
    O3 - Toolbar: Music Search App (Dist. by Bandoo Media, Inc.) - {88d8ecb7-204f-4efd-8134-f6341f76c672} - C:\PROGRA~2\MUSICA~1\Datamngr\SRTOOL~1\IE\searchresultsDx.dll
    O4 - HKLM\..\Run: [Schedule] "C:\ProgramData\Schedule\timetasks.exe"
    O4 - HKCU\..\Run: [baidu] C:\Program Files (x86)\baidu\BindEx.exe
    O4 - HKCU\..\Run: [LoaderSystemWIN] C:\Users\Admin\AppData\Roaming\runWIN\Update.exe
    O4 - HKCU\..\Run: [RuningWIN32] C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe
    O4 - HKCU\..\Run: [NewLoadSystemWIN32] C:\Users\Admin\AppData\Roaming\runWIN\update.exe
    O4 - HKCU\..\Run: [Encrypt] C:\Users\Admin\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe
    O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f274c2a5f38c6ea9285de942a0aa00b8&text=
    Скачайте ComboFix здесь и сохраните в корень диска С.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  17. #16
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    19
    Вес репутации
    35
    Хуу, наконец-то))

    - - - - -Добавлено - - - - -

    Сделала, что дальше?
    Вложения Вложения

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\drivers\BDMWrench.sys
    c:\windows\system32\bd64_x64.dll
    c:\windows\system32\bd64_x86.dll
    c:\windows\system32\drivers\BDArKit.sys
    c:\windows\system32\drivers\bd0001.sys
    c:\windows\system32\drivers\{2f0ff925-183b-4210-98f5-cb2ffd917f2b}Gw64.sys
    c:\windows\system32\drivers\BDSafeBrowser.sys
    c:\windows\system32\drivers\bd0004.sys
    c:\windows\system32\drivers\bd0001_1.sys
    c:\windows\system32\DRIVERS\BDMWrench_x64.sys
    
    Driver::
    BDMWrench_x64
    BDSafeBrowser
    {2f0ff925-183b-4210-98f5-cb2ffd917f2b}Gw64
    bd0004
    BDMWrench
    BDArKit
    BDSGRTP
    IePluginServices
    
    Folder::
    c:\users\Admin\AppData\Roaming\FirefoxToolbar
    c:\program files (x86)\Music App
    c:\programdata\Datamngr
    c:\users\Admin\AppData\Roaming\Mail.RU NewGamesT
    c:\users\Admin\AppData\Roaming\Microsoft DB
    c:\users\Admin\AppData\Roaming\SupTab
    c:\program files (x86)\SupTab
    c:\programdata\IePluginServices
    c:\users\Admin\AppData\Roaming\337Games
    c:\users\Admin\AppData\Roaming\webssearches
    c:\program files (x86)\Adanak
    c:\users\Admin\AppData\Roaming\GoforFiles
    c:\program files (x86)\GoForFiles
    c:\users\Admin\AppData\Roaming\GemWare
    c:\users\Admin\AppData\Roaming\ICL
    c:\users\Admin\AppData\Roaming\Baidu
    c:\program files (x86)\Common Files\Baidu
    c:\programdata\Baidu
    c:\program files (x86)\baidu
    c:\users\Admin\AppData\Roaming\eTranslator
    c:\users\Admin\AppData\Roaming\bafhhmlkbcigapgkfdgfikhkkaihpjjn
    c:\program files (x86)\Twilight Tech
    c:\users\Admin\AppData\Roaming\cload2
    
    
    Registry::
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\~\Browser Helper Objects\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}]
    
    FileLook::
    
    DirLook::
    
    Reboot::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  19. #18
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    19
    Вес репутации
    35
    Я не могу прикрепить новый отчет ComboFix.txt, потому что нету места на менеджере вложений, как его освободить?

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    как его освободить?
    Мой кабинет => Вложения
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  21. #20
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    19
    Вес репутации
    35
    О, спасибо)

    - - - - -Добавлено - - - - -

    Что дальше?
    Вложения Вложения

  • Уважаемый(ая) Слава Никитина, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Зашифрованные файлы вирусом, все стало с расширением AES256
      От Виталия Пазынич в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 15.10.2014, 16:23
    2. все файлы зашифрованы вирусом AES256
      От olga4960 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 13.10.2014, 21:35
    3. Зашифрованые файлы (.ARRESTED)
      От Hirosan в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.07.2013, 01:10
    4. Зашифрованые файлы (.ARRESTED)
      От DrUsama в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.07.2013, 01:06
    5. Зашифрованые файлы.
      От Svetilka в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.04.2013, 22:51

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01587 seconds with 20 queries