Показано с 1 по 20 из 20.

AES256 закодированны файлы на компьютере (заявка № 168297)

  1. #1
    Junior Member Репутация
    Регистрация
    10.10.2014
    Сообщений
    9
    Вес репутации
    35

    Post AES256 закодированны файлы на компьютере

    Добрый день! У меня после перезагрузки компьютера все файлы с видео, текстовые файлы,архивы и многие другие стали закодированы и отображаются как иконка в виде замочка.На рабочем столе появился ярлык онлайн консультанта,который при открытии просит послать денег для расшифровки моих файлов,указывая ещё на то, что каждый день сумма будет возрастать.Антивирус не стоял пользовался др.веб сьют.На данный момент сканировал и Вебом и Касперским как указанно в инструкции не чего не помогло отсылаю вам вложения с отчётам
    Последний раз редактировалось Александр1981; 10.10.2014 в 18:43. Причина: не было вложений

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Александр1981, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Это понравилось:


  5. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\OPEL\appdata\roaming\mail.ru newgamest\api.dll','');
     QuarantineFile('C:\Windows\System32\comparevers.exe','');
     QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
     QuarantineFile('C:\Users\OPEL\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','');
     DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','32');
     DeleteFile('C:\Users\OPEL\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32');
     DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
     DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
     DeleteFile('C:\Windows\system32\Tasks\cvc','64');
     DeleteFile('C:\Windows\System32\comparevers.exe','32');
     DeleteFile('C:\Users\OPEL\appdata\roaming\mail.ru newgamest\api.dll','32');
    DeleteFileMask('C:\Users\OPEL\AppData\Roaming\Mail.RU NewGamesT', '*', true);
    DeleteDirectory('C:\Users\OPEL\AppData\Roaming\Mail.RU NewGamesT');
     BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('bd0001');
     BC_DeleteSvc('bd0004');
     BC_DeleteSvc('BDArKit');
     BC_DeleteSvc('BDMWrench');
     BC_DeleteSvc('BDSafeBrowser');
     BC_DeleteSvc('bd0002');
     BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys');
     BC_DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys');
     BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys');
     BC_DeleteSvc('BDMWrench_x64');
     BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys');
     BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys');
     BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys');
     BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте логи RSIT
    Сделайте такой лог
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #4
    Junior Member Репутация
    Регистрация
    10.10.2014
    Сообщений
    9
    Вес репутации
    35
    Извините я логи старые удалил и начал создавать новые логи, а карантин не сохранил старый ,что делать с карантином?Прислать что сейчас выдаёт из карантина?

  7. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Присылайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #6
    Junior Member Репутация
    Регистрация
    10.10.2014
    Сообщений
    9
    Вес репутации
    35

    следую инструкциям


  9. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пересоздайте ярлыки
    C:\Users\OPEL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
    C:\Users\OPEL\AppData\Roaming\Microsoft\Windows\St art Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
    C:\Users\OPEL\AppData\Roaming\Microsoft\Windows\St art Menu\Programs\Internet Explorer.lnk
    Пофиксите в HiJack
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://startovka.ru
    O4 - HKCU\..\Run: [Encrypt] C:\Users\OPEL\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe
    Удалите файлы
    C:\Windows\SYSWOW64\removeSAddons.bat
    C:\Windows\system32\drivers\BDMWrench.sys
    C:\Windows\system32\drivers\BDArKit.sys
    C:\Windows\system32\drivers\bd0001.sys
    C:\Windows\system32\bd64_x86.dll
    C:\Windows\system32\bd64_x64.dll
    C:\Windows\system32\drivers\BDSafeBrowser.sys
    C:\Windows\system32\drivers\bd0004.sys
    C:\Windows\system32\drivers\bd0001_1.sys
    и папки
    C:\Users\OPEL\AppData\Roaming\Microsoft DB
    C:\Users\OPEL\AppData\Roaming\Baidu
    C:\ProgramData\Baidu
    ,C:\Users\OPEL\AppData\Roaming\GemWare
    C:\Users\OPEL\AppData\Roaming\ICL
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #8
    Junior Member Репутация
    Регистрация
    10.10.2014
    Сообщений
    9
    Вес репутации
    35
    из того что вы предложили у меня получилось только, заменить ярлыки, почистить реестр и удалить указанные папки но вот файлы удалить не получается так как требует права администратора, но получить их не получается ни через группы пользователей ни другими способами (unlocker).

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Если есть в установленных программах Baidu и другие китайские программы, то деинсталируйте.

    Сделайте полный образ автозапуска uVS только программу скачайте отсюда

  12. #10
    Junior Member Репутация
    Регистрация
    10.10.2014
    Сообщений
    9
    Вес репутации
    35

    Сделал образ автозагрузки

    образ афтозагрузки

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Выполните скрипт в uVS и пришлите карантин

    Код:
    ;uVS v3.83.3 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v383c
    BREG
    zoo %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT DATA\INSTALLER_NO_CHROME.EXE
    zoo %SystemDrive%\GAMES\WORLD_OF_TANKS\WOTLAUNCHER.EXE.BAT
    delref %SystemDrive%\USERS\OPEL\APPDATA\ROAMING\MAIL.RU NEWGAMEST\TIKET.EXE
    dirzooex %SystemDrive%\USERS\OPEL\APPDATA\ROAMING\ACESTREAM
    regt 28
    regt 29
    czoo
    restart
    сделайте новый образ автозапуска и отпишитесь, что с проблемой?

    + ACESTREAM - рекомендую удалить.

  14. #12
    Junior Member Репутация
    Регистрация
    10.10.2014
    Сообщений
    9
    Вес репутации
    35
    проблема не решены файлы и документы по прежнему не хотят открываться имеют тип файла Файл "AES256" (.AES256)
    карантин выслал,образ прикрепил
    Последний раз редактировалось Александр1981; 11.10.2014 в 13:46.

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Выполните скрипт uVS

    Код:
    ;uVS v3.83.3 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v383c
    BREG
    delref %SystemDrive%\USERS\OPEL\APPDATA\ROAMING\MAIL.RU NEWGAMEST\TIKET.EXE
    zoo %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT DATA\INSTALLER_NO_CHROME.EXE
    bl DBC4A0D07B53406B225852EC771CC56B 713728
    delall %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT DATA\INSTALLER_NO_CHROME.EXE
    czoo
    restart
    сделайте новый образ автозапуска

    Для расшифровки файлов пробуйте RakhniDecryptor

  16. #14
    Junior Member Репутация
    Регистрация
    10.10.2014
    Сообщений
    9
    Вес репутации
    35
    образ отсылаю

    - - - - -Добавлено - - - - -

    программа пишет "невозможно подобрать пароль"

    - - - - -Добавлено - - - - -

    Я так понял что всё это напрасно и один выход либо жертвовать данными и сносить всё под ноль,либо платить этим гениям
    Вложения Вложения

  17. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Выполните скрипт uVS и пришлите карантин

    Код:
    ;uVS v3.83.3 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v383c
    BREG
    delref %SystemDrive%\USERS\OPEL\APPDATA\ROAMING\MAIL.RU NEWGAMEST\TIKET.EXE
    zoo %SystemDrive%\GAMES\WORLD_OF_TANKS\WOTLAUNCHER.EXE.BAT
    del %SystemDrive%\GAMES\WORLD_OF_TANKS\WOTLAUNCHER.EXE.BAT
    zoo %Sys32%\COMPAREVERS.EXE
    delall %SystemDrive%\USERS\OPEL\APPDATA\ROAMING\MAIL.RU NEWGAMEST\TIKET.EXE
    czoo
    restart
    сделайте новый образ автозапуска.


    Цитата Сообщение от Александр1981 Посмотреть сообщение
    Я так понял что всё это напрасно и один выход либо жертвовать данными и сносить всё под ноль,либо платить этим гениям
    либо, прочитайте эту статью http://virusinfo.info/showthread.php?t=164586 возможно поможет получить нужный ключ для расшировки в ходе обыска у авторов трояна.

  18. #16
    Junior Member Репутация
    Регистрация
    10.10.2014
    Сообщений
    9
    Вес репутации
    35
    Да только смысла в этом очень при очень мало ,так как следов преступления как токовых уже не осталось после многих манипуляций с системой

    - - - - -Добавлено - - - - -

    да и восстанавливать то по сути мне лично на этом компе практически нечего.Так что хакеры просчитались

    - - - - -Добавлено - - - - -

    А на будущее конечно поставлю себе анти вирусок

    - - - - -Добавлено - - - - -

    кстати какой на ваш взгляд самый надёжный и не назойливый?

  19. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Александр1981 Посмотреть сообщение
    Да только смысла в этом очень при очень мало ,так как следов преступления как токовых уже не осталось
    главный след это зашифрованные файлы и они остались.

    - - - - -Добавлено - - - - -

    Цитата Сообщение от Александр1981 Посмотреть сообщение
    А на будущее конечно
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Советы и рекомендации после лечения компьютера

  20. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Да только смысла в этом очень при очень мало ,так как следов преступления как токовых уже не осталось
    Остались еще как. Обращайтесь.

  21. #19
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  22. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Александр1981, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 11
      Последнее сообщение: 18.10.2014, 11:55
    2. Все файлы на компьютере зашифрованы с расширением AES256
      От Артемегоров в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 18.10.2014, 11:37
    3. ,пк зашифровал все файлы aes256
      От deSeRton в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 17.10.2014, 20:12
    4. Вирус AES256 зашифровал все файлы JPG на компьютере
      От Дмитрий 16 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 15.10.2014, 18:57
    5. Зашифрованы файлы все, AES256
      От Igorellas в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 09.10.2014, 23:57

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00268 seconds with 20 queries