Расшифровка файлов после заражения AES256

**Аполинария** · 12.10.2014, 13:11

Здравствуйте.Скачивала программу, после чего на компьютере закодировались все файлы. На рабочем столе появился ярлык под названием "Онлайн консультант". При попытке запуска файлов происходил запуск программы, где предлагалось перевести деньги. В каждой папке появился текстовый файл (ниже цитата)
"Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.
Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл."
Программа была удалена, компьютер полностью проверен на вирусы при помощи антивируса avast, найденные вирусные угрозы ликвидированы. Однако файлы остались по - прежнему зашифрованными. Очень прошу о помощи.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 12.10.2014, 13:12

Логи AVZ где?

+ Сделайте логи RSIT

**Аполинария** · 12.10.2014, 13:15

Есть только незнаю как отправить

**thyrex** · 12.10.2014, 13:19

Ну лог HiJack ведь сумели отправить. Логи AVZ очно так же

**Аполинария** · 12.10.2014, 13:34

А сейчас делаю логи RSIT

- - - - -Добавлено - - - - -

Вот

**thyrex** · 12.10.2014, 13:47

deal keeper
mypc backup
schedule
Program status

удалите через Установку программ

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\deal keeper\bin\{55DCE8BA-9DEC-4013-937E-ADBF9317D990}.dll','');
 QuarantineFile('C:\Users\Юра\appdata\roaming\mail.ru newgamest\api.dll','');
 QuarantineFile('C:\Users\Юра\AppData\Roaming\Subway_Surfers\Subway_Surfers.lnk','');
 QuarantineFile('C:\ProgramData\Program status\scheck.exe','');
 SetServiceStart('{55dce8ba-9dec-4013-937e-adbf9317d990}Gw', 4);
 DeleteService('{55dce8ba-9dec-4013-937e-adbf9317d990}Gw');
 SetServiceStart('{5178f938-0bd5-47c1-8242-71f6e3e72925}Gw', 4);
 DeleteService('{5178f938-0bd5-47c1-8242-71f6e3e72925}Gw');
 SetServiceStart('Util Deal Keeper', 4);
 DeleteService('Util Deal Keeper');
 SetServiceStart('Update Deal Keeper', 4);
 DeleteService('Update Deal Keeper');
 SetServiceStart('MaintainerSvc2.02.5636706', 4);
 DeleteService('MaintainerSvc2.02.5636706');
 SetServiceStart('BackupStack', 4);
 DeleteService('BackupStack');
 QuarantineFile('C:\Windows\system32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}Gw.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{5178f938-0bd5-47c1-8242-71f6e3e72925}Gw.sys','');
 TerminateProcessByName('c:\program files\deal keeper\bin\utildealkeeper.exe');
 QuarantineFile('c:\program files\deal keeper\bin\utildealkeeper.exe','');
 TerminateProcessByName('c:\program files\deal keeper\updatedealkeeper.exe');
 QuarantineFile('c:\program files\deal keeper\updatedealkeeper.exe','');
 TerminateProcessByName('c:\programdata\schedule\timetasks.exe');
 QuarantineFile('c:\programdata\schedule\timetasks.exe','');
 TerminateProcessByName('c:\programdata\d7a0fe93-7bf3-4f3d-89c3-fe4e144b2eb8\maintainer.exe');
 QuarantineFile('c:\programdata\d7a0fe93-7bf3-4f3d-89c3-fe4e144b2eb8\maintainer.exe','');
 TerminateProcessByName('c:\program files\deal keeper\bin\dealkeeper.purbrowse.exe');
 QuarantineFile('c:\program files\deal keeper\bin\dealkeeper.purbrowse.exe','');
 TerminateProcessByName('c:\program files\deal keeper\bin\dealkeeper.browseradapter.exe');
 QuarantineFile('c:\program files\deal keeper\bin\dealkeeper.browseradapter.exe','');
 TerminateProcessByName('c:\program files\deal keeper\bin\dealkeeper.boashelper.exe');
 QuarantineFile('c:\program files\deal keeper\bin\dealkeeper.boashelper.exe','');
 TerminateProcessByName('c:\program files\mypc backup\backupstack.exe');
 QuarantineFile('c:\program files\mypc backup\backupstack.exe','');
 TerminateProcessByName('c:\users\Юра\appdata\local\amigo\application\amigo.exe');
 DeleteFile('c:\users\Юра\appdata\local\amigo\application\amigo.exe','32');
 DeleteFile('c:\program files\mypc backup\backupstack.exe','32');
 DeleteFile('c:\program files\deal keeper\bin\dealkeeper.boashelper.exe','32');
 DeleteFile('c:\program files\deal keeper\bin\dealkeeper.browseradapter.exe','32');
 DeleteFile('c:\program files\deal keeper\bin\dealkeeper.purbrowse.exe','32');
 DeleteFile('c:\programdata\d7a0fe93-7bf3-4f3d-89c3-fe4e144b2eb8\maintainer.exe','32');
 DeleteFile('c:\programdata\schedule\timetasks.exe','32');
 DeleteFile('c:\program files\deal keeper\updatedealkeeper.exe','32');
 DeleteFile('c:\program files\deal keeper\bin\utildealkeeper.exe','32');
 DeleteFile('C:\Windows\system32\drivers\{5178f938-0bd5-47c1-8242-71f6e3e72925}Gw.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}Gw.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w.sys','32');
 DeleteFile('C:\ProgramData\Program status\scheck.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sCloudStatusCheck');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amigo');
 DeleteFile('C:\Windows\Tasks\PC Performer_DEFAULT.job','32');
 DeleteFile('C:\Windows\Tasks\PC Performer_UPDATES.job','32');
 DeleteFile('C:\Windows\system32\Tasks\PC Performer','32');
 DeleteFile('C:\Windows\system32\Tasks\PC Performer_DEFAULT','32');
 DeleteFile('C:\Windows\system32\Tasks\PC Performer_UPDATES','32');
 DeleteFile('C:\Users\Юра\appdata\roaming\mail.ru newgamest\api.dll','32');
 DeleteFile('C:\Program Files\deal keeper\bin\{55DCE8BA-9DEC-4013-937E-ADBF9317D990}.dll','32');
DeleteFileMask('C:\Users\Юра\AppData\Roaming\runWIN', '*', true);
DeleteDirectory('C:\Users\Юра\AppData\Roaming\runWIN');
DeleteFileMask('C:\Users\Юра\AppData\Roaming\Mail.RU NewGamesT', '*', true);
DeleteDirectory('C:\Users\Юра\AppData\Roaming\Mail.RU NewGamesT');
DeleteFileMask('c:\programdata\schedule', '*', true);
DeleteDirectory('c:\programdata\schedule');
DeleteFileMask('C:\ProgramData\Program status', '*', true);
DeleteDirectory('C:\ProgramData\Program status');
DeleteFileMask('c:\program files\deal keeper', '*', true);
DeleteDirectory('c:\program files\deal keeper');
DeleteFileMask('C:\Users\Юра\AppData\Roaming\Microsoft DB', '*', true);
DeleteDirectory('C:\Users\Юра\AppData\Roaming\Microsoft DB');
DeleteFileMask('C:\Users\Юра\AppData\Roaming\GemWare', '*', true);
DeleteDirectory('C:\Users\Юра\AppData\Roaming\GemWare');
DeleteFileMask('C:\Users\Юра\AppData\Roaming\Browsers', '*', true);
DeleteDirectory('C:\Users\Юра\AppData\Roaming\Browsers');
DeleteFileMask('C:\Users\Юра\AppData\Roaming\ICL', '*', true);
DeleteDirectory('C:\Users\Юра\AppData\Roaming\ICL');
DeleteFileMask('C:\Program Files\Zaxar', '*', true);
DeleteDirectory('C:\Program Files\Zaxar');
DeleteFileMask('C:\Users\Юра\AppData\Roaming\phoenixguard', '*', true);
DeleteDirectory('C:\Users\Юра\AppData\Roaming\phoenixguard');
DeleteFileMask('C:\Users\Юра\AppData\Roaming\cload2', '*', true);
DeleteDirectory('C:\Users\Юра\AppData\Roaming\cload2');
DeleteFileMask('C:\Users\Юра\AppData\Roaming\eTranslator', '*', true);
DeleteDirectory('C:\Users\Юра\AppData\Roaming\eTranslator');
DeleteFileMask('C:\Users\Юра\AppData\Roaming\GetnowUpdater', '*', true);
DeleteDirectory('C:\Users\Юра\AppData\Roaming\GetnowUpdater');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите в HiJack

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f933c15104f27a841c00c2c2b2fc533e&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f933c15104f27a841c00c2c2b2fc533e&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f933c15104f27a841c00c2c2b2fc533e&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f933c15104f27a841c00c2c2b2fc533e&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O3 - Toolbar: (no name) - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} - (no file)
O3 - Toolbar: (no name) - {5BCDC9E9-A980-4B53-B2E8-60CFF484DA61} - (no file)
O3 - Toolbar: (no name) - {90b49673-5506-483e-b92b-ca0265bd9ca8} - (no file)
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f933c15104f27a841c00c2c2b2fc533e&text=
O18 - Protocol: base64 - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - (no file)
O18 - Protocol: chrome - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - (no file)
O18 - Protocol: prox - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - (no file)

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

Расшифровка файлов после заражения AES256 (заявка № 168399)

Опции темы

Расшифровка файлов после заражения AES256

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Похожие темы

Расшифровка фалов после заражения AES-256

Снова расшифровка файлов aes256 [not-a-virus:AdWare.Win32.MMag.k ]

Расшифровка файлов после заражения AES256

Расшифровка файлов после вируса

расшифровка файлов после lockdir

Метки для этой темы

Ваши права в разделе