Junior Member
Вес репутации
35
Вирус зашифровал файлы (AES256)
Доброго Вечера спасители. В браузерах при открытии открываются левые вкладки и всплывают рекламные баннеры + вирус начал зашифровывать файлы (изображения, все виды документов, музыку) в тип AES256. На рабочем столе ярлык "Онлайн-консультант".
Также в каждой папке с зашифрованным файлом находится txt с названием "Внимание!Откройте меня" и содержанием "Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.
Микрософт есеншл ничего не находит, Касперский нашёл, но не смог вылечить.
Хотелось бы восстановить зашифрованные файлы и избавиться от этих проблем. Вот лог с Касперского
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Bolshenog , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
извиняюсь
Сообщение от
thyrex
извиняюсь:
Вложения
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\home\AppData\Roaming\runWIN\Update.exe','');
QuarantineFile('C:\Users\home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
QuarantineFile('C:\Users\home\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','');
DeleteFile('C:\Program Files\Google\Chrome\Application\chrome.exe.bat','32');
DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32');
DeleteFile('C:\Program Files\baidu\BindEx.exe','32');
DeleteFile('C:\Users\home\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32');
DeleteFile('C:\Users\home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
DeleteFile('C:\Users\home\AppData\Roaming\runWIN\Update.exe','32');
DeleteFileMask('C:\Users\home\AppData\Roaming\runWIN', '*', true);
DeleteDirectory('C:\Users\home\AppData\Roaming\runWIN');
DeleteFileMask('C:\Users\home\AppData\Roaming\Mail.RU NewGamesT', '*', true);
DeleteDirectory('C:\Users\home\AppData\Roaming\Mail.RU NewGamesT');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.443\baiduprotect.exe');
BC_DeleteFile('c:\program files\baidu\bindex.exe');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\ad.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\7z.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDKitUtils.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDLogicUtils.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDMNet.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDMReport.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\bdsg0001.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\DriverManager.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\dynplugins\AssistReportPlugin.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\plugins\BaiduRepair.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\plugins\HIPS.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\SafeBrowserDll.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\SafeExplorer.dll');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys');
BC_DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys');
BC_DeleteSvc('BDSGRTP');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BaiduProtect.exe');
BC_DeleteSvc('bd0001');
BC_DeleteSvc('bd0004');
BC_DeleteSvc('BDArKit');
BC_DeleteSvc('BDMWrench');
BC_DeleteSvc('BDSafeBrowser');
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте логи RSIT
Сделайте такой лог
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
выполнил.
прислал.
сделал.
Вложения
А новые логи по правилам где?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
Сообщение от
thyrex
А новые логи по правилам где?
ой, подумал что новые это эти два rsit и такойлог. вот те:
Вложения
Пересоздайте ярлыки
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Opera 24.lnk
C:\Users\home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera 24.lnk
C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Opera 24.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera 24.lnk
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\Users\home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\home\AppData\Roaming\Microsoft\Windows\St art Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\home\AppData\Roaming\Microsoft\Windows\St art Menu\Programs\Internet Explorer.lnk
C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
Удалите папки
Код:
C:\extensions
C:\Users\home\AppData\Roaming\Microsoft DB
C:\Users\home\AppData\Roaming\Baidu
C:\Program Files\Common Files\Baidu
C:\ProgramData\Baidu
C:\Program Files\baidu
C:\Users\home\AppData\Roaming\GemWare
C:\Users\home\AppData\Roaming\ICL
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
так, все сделал, а дальше?)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
Пишет невозможно подобрать пароль(((((
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Bolshenog , прочитайте эту статью http://virusinfo.info/showthread.php?t=164586 возможно поможет получить нужный ключ для расшировки в ходе обыска у авторов трояна.
Junior Member
Вес репутации
35
Ребята, я почитал в соседних ветках, что у людей получается расшифровать с помощью дешифратора
Сегодня, 00:59
mike 1
id и hashkey, который выдал вам шифратор напишите.
Сегодня, 15:28
adhara
HashKey: a5dc15ec2736ebb684d68d2ad97361df
ID: 24020
Сегодня, 15:34
mike 1
Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов.
Дешифратор (
http://rghost.ru/58393279 )
Принцип работы с дешифратором:
1. Сохраните дешифратор в отдельную созданную папку.
2. Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора.
Вложения Вложения Тип файла: zip key.zip (191 байт, 3 просмотров)
может, у меня так тоже получится?)
мои:
HashKey: 9eed7e21ac2b2cc86d24a78e123a742e
ID: 24289
Теперь только ждать новую версию дешифратора от ЛК
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 1 В ходе лечения вредоносные программы в карантинах не обнаружены