Junior Member
Вес репутации
35
Зашифрованы файлы в AES256
После интернет-серфинга вирус зашифровал некоторые файлы и папки с фотками и документами(стали с расширением AES256), в корневые каталоги поместил текстовые документы "ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ" в тексте которых требуются деньги за расшифровку. Помогите пожалуйста!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Miha2305 , спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
QuarantineFile('C:\ProgramData\Program status\scheck.exe','');
TerminateProcessByName('c:\program files (x86)\baidu\bindex.exe');
QuarantineFile('c:\program files (x86)\baidu\bindex.exe','');
TerminateProcessByName('c:\programdata\schedule\timetasks.exe');
QuarantineFile('c:\programdata\schedule\timetasks.exe','');
DeleteFile('c:\programdata\schedule\timetasks.exe','32');
DeleteFile('c:\program files (x86)\baidu\bindex.exe','32');
DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');
DeleteFile('C:\ProgramData\Program status\scheck.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sCloudStatusCheck');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule');
DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
DeleteFileMask('C:\Program Files (x86)\Microsoft Data', '*', true);
DeleteDirectory('C:\Program Files (x86)\Microsoft Data');
DeleteFileMask('c:\programdata\schedule', '*', true);
DeleteDirectory('c:\programdata\schedule');
DeleteFileMask('C:\ProgramData\Program status', '*', true);
DeleteDirectory('C:\ProgramData\Program status');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.579\baiduprotect.exe');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\7z.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\ad.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\BDKitUtils.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\BDLogicUtils.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\BDMNet.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\BDMReport.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\DriverManager.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\dynplugins\AssistReportPlugin.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\plugins\BaiduRepair.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\plugins\HIPS.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\SafeBrowserDll.dll');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys');
BC_DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys');
BC_DeleteSvc('BDSGRTP');
BC_DeleteSvc('bd0001');
BC_DeleteSvc('bd0004');
BC_DeleteSvc('BDArKit');
BC_DeleteSvc('BDMWrench');
BC_DeleteSvc('BDSafeBrowser');
BC_DeleteSvc('bd0002');
BC_DeleteSvc('BDMWrench_x64');
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте логи RSIT
Сделайте такой лог
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
new logs
Вложения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
лог комбофикс
Сообщение от
thyrex
сделал
Вложения
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С
Код:
KillAll::
File::
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\SysWow64\removeSAddons.bat
c:\windows\system32\bd64_x64.dll
c:\windows\system32\bd64_x86.dll
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\drivers\bd0004.sys
c:\windows\system32\drivers\bd0001_1.sys
Driver::
BDSafeBrowser
bd0004
BDMWrench
BDArKit
BDSGRTP
Folder::
c:\program files (x86)\Common Files\Baidu
c:\programdata\Baidu
c:\program files (x86)\baidu
c:\users\Администратор\AppData\Roaming\Browsers
DDS::
uStart Page = hxxp://1kanal.org/?src=hp1
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt , прикрепите его к сообщению.
- - - - -Добавлено - - - - -
Пробуем обновленную версию http://support.kaspersky.ru/viruses/disinfection/10556
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
лог комбофикс new
Вложения
Последний раз редактировалось thyrex; 17.10.2014 в 18:37 .
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\SysWow64\removeSAddons.bat
c:\windows\system32\bd64_x64.dll
c:\windows\system32\bd64_x86.dll
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\drivers\bd0004.sys
c:\windows\system32\drivers\bd0001_1.sys
удалите вручную
Утилиту для расшифровки пробовали?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
РАС ШИФРОВАЛОСЬ!!!
Сообщение от
thyrex
удалите вручную
Утилиту для расшифровки пробовали?
Огромнейший респект!!! Кроме нескольких папок и текстовых документов все расшифровалось. УРА
Сообщение от
Miha2305
Кроме нескольких папок и текстовых документов
Что в этих папках? Файлы в них точно были с расширением AES?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
архив
Сообщение от
thyrex
Что в этих папках? Файлы в них точно были с расширением AES?
Нет. Две папки были в архиве и написало что архив не раскрылся.И несколько папок вордовских, на них были какие-то символы и при открытии пишет что что-то с кодировкой...
А если кодировку поменять в названии папки, информация в ней расшифровалась?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 5 В ходе лечения вредоносные программы в карантинах не обнаружены