Показано с 1 по 18 из 18.

.AES256 зашифровал файлы [Trojan.VBS.Agent.su ] (заявка № 168798)

  1. #1
    Junior Member Репутация
    Регистрация
    16.10.2014
    Сообщений
    8
    Вес репутации
    8

    Thumbs up .AES256 зашифровал файлы [Trojan.VBS.Agent.su ]

    Здравствуйте!
    Помогите пожалуйста, ребенок что-то наставил или еще как-то подцепили вирус.
    Все jpeg, mp3, avi и т.п. зашифрованы в .AES256
    Жена с ума чуть не сошла - фотки за последние 5 (!) лет - 1 класс ребенка и куча других знаменательных фотографий, спасайте!

    Во всех папках лежит txt файл ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ следующего содержания:
    ""
    Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.
    Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.

    Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.
    TOR: https://www.torproject.org/ | Видео инструкция: http://youtu.be/43feBLwHzn0
    url_1: http://y6kpyefykdvswxps.onion:4567/pay.html
    url_2: http://gi3ruskskqzff2rw.onion:4567/pay.html
    HashKey: 98dcffec976b095da7845239917d9c96
    ID: 13645


    ""

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) osta6, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true); 
     QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','');
     QuarantineFile('C:\Users\Олег\AppData\Roaming\runWIN\Update.exe','');
     QuarantineFile('C:\Users\Олег\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
     QuarantineFile('C:\Users\Олег\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','');
     QuarantineFile('C:\Users\Олег\AppData\Local\Microsoft\Windows\system.vbs','');
     DeleteFile('C:\Users\Олег\AppData\Local\Microsoft\Windows\system.vbs','32');
     DeleteFile('C:\Users\Олег\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32');
     DeleteFile('C:\Users\Олег\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
     DeleteFile('C:\Users\Олег\AppData\Roaming\runWIN\update.exe','32');
     DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','32');
     DeleteFileMask('C:\Users\Олег\AppData\Roaming\Mail.RU NewGamesT', '*', true);
     DeleteDirectory('C:\Users\Олег\AppData\Roaming\Mail.RU NewGamesT');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.


    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    - сделайте лог CheckBrowserLnk


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

  5. #4
    Junior Member Репутация
    Регистрация
    16.10.2014
    Сообщений
    8
    Вес репутации
    8
    Карантин отправил.
    Логи прикрепляю, как просили.

    Жду дальнейших указаний!

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Baidu - деинсталируйте.

    Выполните скрипт в AVZ
    Код:
    begin
      QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk','');
      QuarantineFile('C:\Users\Public\Desktop\Firefox.lnk','');
      QuarantineFile('C:\Users\Юыху\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Firefox.lnk','');
      QuarantineFile('C:\Users\Юыху\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk','');
      QuarantineFile('C:\Users\Юыху\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk','');
      QuarantineFile('C:\Program Files (x86)\Mozilla Firefox\firefox.exe.bat','');
      QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','');
      DeleteFile('C:\Program Files (x86)\Mozilla Firefox\firefox.exe.bat','');
      DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','');
      DeleteFile('C:\Windows\system32\Tasks\Core Temp Autostart Олег','64');
      CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.


    - Исправьте с помощью утилиты ClearLNK следующие ярлыки:

    Код:
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
    C:\Users\Public\Desktop\Firefox.lnk
    C:\Users\Юыху\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Firefox.lnk
    C:\Users\Юыху\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
    C:\Users\Юыху\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
    отчёт прикрепите.

    + Сделайте полный образ автозапуска uVS только программу скачайте отсюда

  7. #6
    Junior Member Репутация
    Регистрация
    16.10.2014
    Сообщений
    8
    Вес репутации
    8
    Baidu - деинсталлировал.
    Скрипт в AVZ выполнил - quarantine.zip - загрузил по ссылке из темы.

    """
    Результат загрузки
    Файл сохранён как 141017_153706_quarantine_544137a2eb7a0.zip
    Размер файла 3210
    MD5 ad1b6bb4d1817bbac139b2ac7cd844dc
    Файл закачан, спасибо!

    """

    С помощью утилиты ClearLNK исправил ярлыки - отчет прикрепил.
    Сделал полный образ автозапуска uVS - образ прикрепил.



    Жду указаний!

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Выполните скрипт в uVS и пришлите карантин (если карантин будет создан)

    Код:
    ;uVS v3.84 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v384c
    BREG
    delref HTTP://1KANAL.ORG/?SRC=HP1
    zoo %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\FIREFOX.EXE.BAT
    del %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\FIREFOX.EXE.BAT
    zoo %SystemDrive%\USERS\ОЛЕГ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\FIREFOX.LNK
    delall %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUAN\3.0.0.3971\BAIDUANTRAY.EXE
    delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BAIDUHIPS\1.1.0.733\BD0002.DLL.BAK
    delall %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\1.8.0.1255\EXPLUGIN\IEBAIDUSDDETECTPLUG.DLL
    delall %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BINDEX.EXE
    delall %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\2.1.0.3086\BDKVDESKBAND64.DLL
    deldir %SystemDrive%\PROGRAM FILES (X86)\BAIDU\
    regt 28
    regt 29
    czoo
    restart
    сделайте новый образ автозапуска.

  9. #8
    Junior Member Репутация
    Регистрация
    16.10.2014
    Сообщений
    8
    Вес репутации
    8
    Выполнил скрипт в uVS - прикрепил ZOO_2014-10-17_19-52-22.zip (не знаю карантин это или нет?)
    Сделал новый образ автозапуска - прикрепил!
    Последний раз редактировалось regist; 17.10.2014 в 23:17.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Цитата Сообщение от osta6 Посмотреть сообщение
    прикрепил ZOO_2014-10-17_19-52-22.zip (не знаю карантин это или нет?)
    карантин и к сообщению его прикреплять запрещено. Загрузите по ссылке наверху темы.

  11. #10
    Junior Member Репутация
    Регистрация
    16.10.2014
    Сообщений
    8
    Вес репутации
    8
    карантин и к сообщению его прикреплять запрещено. Загрузите по ссылке наверху темы.

    Загрузил по ссылке наверху темы ...

    ""

    Результат загрузки
    Файл сохранён как 141017_191415_ZOO_2014-10-17_19-52-22_54416a872b19c.zip
    Размер файла 3026
    MD5 ec86d128c0a534cce717491558514335
    Файл закачан, спасибо!

    ""

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Выполните скрипт в uVS

    Код:
    ;uVS v3.84 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v384c
    BREG
    delall %SystemDrive%\USERS\ОЛЕГ\APPDATA\ROAMING\RUNWIN\UPDATE.EXE
    delall %SystemDrive%\USERS\ОЛЕГ\APPDATA\ROAMING\MAIL.RU NEWGAMEST\TIKET.EXE
    zoo %SystemDrive%\USERS\ОЛЕГ\APPDATA\LOCAL\MICROSOFT\WINDOWS\SYSTEM.VBS
    bl 4A6A4985C655A515319E5F6CDEA5EBE6 27628
    delall %SystemDrive%\USERS\ОЛЕГ\APPDATA\LOCAL\MICROSOFT\WINDOWS\SYSTEM.VBS
    delref HTTP://1KANAL.ORG/?SRC=HP1
    delref HTTP://GO.MAIL.RU/SEARCH?UTF8IN=1&FR=FFTBUFIX&Q=
    czoo
    restart
    сделайте новый образ автозапуска.

  13. #12
    Junior Member Репутация
    Регистрация
    16.10.2014
    Сообщений
    8
    Вес репутации
    8
    После выполнения скрипта, перед перезагрузкой вылетело сообщение:
    ""
    Windows Script Host

    Ошибка при выполнении сервера сенариев Windows. (Эта
    программа заблокирована групповой политикой. За
    дополнительными сведениями обращайтесь к системному
    администратору.)


    ""
    Комп перегрузился - вылетело еще два таких же - нажал [ ОК ]
    После выполнения скрипта - карантин прицепил вверху темы:
    ""

    Результат загрузки
    Файл сохранён как 141017_193844_ZOO_2014-10-17_22-30-24_54417044c618f.zip
    Размер файла 9327
    MD5 8cec3dcb4ff9ecde022a5583631e0fe0
    Файл закачан, спасибо!


    ""
    Новый образ автозапуска прицепил ниже.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Выполните скрипт в uVS


    Код:
    ;uVS v3.84 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v384c
    BREG
    zoo %SystemDrive%\USERS\ОЛЕГ\APPDATA\LOCAL\MICROSOFT\WINDOWS\SYSTEM.VBS
    bl 4A6A4985C655A515319E5F6CDEA5EBE6 27628
    delall %SystemDrive%\USERS\ОЛЕГ\APPDATA\LOCAL\MICROSOFT\WINDOWS\SYSTEM.VBS
    czoo
    restart
    сделайте свежий образ.

  15. #14
    Junior Member Репутация
    Регистрация
    16.10.2014
    Сообщений
    8
    Вес репутации
    8
    Скрипт сделал.
    Свежий образ прикрепил.


    p.s.

    это сообщение не вылетало уже
    ""
    Windows Script Host

    Ошибка при выполнении сервера сенариев Windows. (Эта
    программа заблокирована групповой политикой. За
    дополнительными сведениями обращайтесь к системному
    администратору.)

    ""
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Выполните скрипт в uVS

    Код:
    ;uVS v3.84 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v384c
    BREG
    delref HTTP://1KANAL.ORG/?SRC=HP1
    chklst
    delvir
    
    restart
    Для расшифровки файлов пробуйте RakhniDecryptor.

  17. #16
    Junior Member Репутация
    Регистрация
    16.10.2014
    Сообщений
    8
    Вес репутации
    8
    УРАААААА!!!!!!!!!!!!!!!!!

    Расшифровка пошла .... уже больше тысячи расшифровано!!!!!!!!


    СПАСИБО ОГРОМНОЕ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,230
    Вес репутации
    1022
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
    begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
    else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

    Советы и рекомендации после лечения компьютера
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,522
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files (x86)\internet explorer\iexplore.exe.bat - Trojan-Clicker.BAT.Small.bp ( DrWEB: BAT.StartPage.42 )
      2. c:\program files (x86)\mozilla firefox\firefox.exe.bat - Trojan-Clicker.BAT.Agent.an
      3. \firefox.exe.bat._5e485c45b9beaaf1a76ab474f672f531 08e57b7b - Trojan-Clicker.BAT.Agent.an
      4. \firefox.lnk._b1b5ea5341c73f5a3ca49144d4f2b650a497 d667.txt - Trojan-Clicker.BAT.Agent.an
      5. \system.vbs._a14965e00f9b6b25e4f9cb1ae238669fc8699 565 - Trojan.VBS.Agent.su ( DrWEB: Trojan.Ormes.9, AVAST4: VBS:AutoRun-CS [Trj] )


  • Уважаемый(ая) osta6, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 15
      Последнее сообщение: 17.10.2014, 20:23
    2. Ответов: 17
      Последнее сообщение: 17.10.2014, 20:02
    3. Ответов: 7
      Последнее сообщение: 17.10.2014, 11:30
    4. Ответов: 13
      Последнее сообщение: 16.10.2014, 11:37
    5. Вирус зашифровал файлы (AES256) [Trojan.VBS.Agent.su ]
      От Александра В. в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 15.10.2014, 16:42

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01066 seconds with 23 queries