Подхватил вирус AES 256

[miheychik]

Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.
Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.

Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.
TOR: https://www.torproject.org/ | Видео инструкция: http://youtu.be/43feBLwHzn0
url_1: http://y6kpyefykdvswxps.onion:4567/pay.html
url_2: http://gi3ruskskqzff2rw.onion:4567/pay.html
HashKey: a4190d161c9c89564091b198d3f3bf87
ID: 14362
Установился 'Онлайн консультант' Я его удалил. Удалил все программы установленные в последнее время.
Выполнил первые шаги. Проверил в безопасном режыме Dr.Web CureIt! Нашёл DLOADER.TROYAN. Удалил. Закодированы многие файлы фото, видео, док, программы.

[Info_bot]

Уважаемый(ая) miheychik, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

http://virusinfo.info/pravila.html

[miheychik]

Установился Онлайн клиент. Многие файлы закрылись в зелёный замок с расширением AES 256.
Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.
Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.


Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.
TOR: https://www.torproject.org/ | Видео инструкция: http://youtu.be/43feBLwHzn0
url_1: http://y6kpyefykdvswxps.onion:4567/pay.html
url_2: http://gi3ruskskqzff2rw.onion:4567/pay.html
HashKey: a4190d161c9c89564091b198d3f3bf87
ID: 14362
Удалил программу Онлайн клиент. В безопасном режиме проверил Dr.Web CureIt! Нашел вирус DLOADER. trojan. Удалил его. Файлы не разшифровались

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\program files (x86)\baidu\bindex.exe','');
 DeleteFile('c:\program files (x86)\baidu\bindex.exe','32');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофииксите в HiJack

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b6282cb2dd62c865a37c8e2a057f77e2&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b6282cb2dd62c865a37c8e2a057f77e2&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b6282cb2dd62c865a37c8e2a057f77e2&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b6282cb2dd62c865a37c8e2a057f77e2&text=
O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)
O4 - HKCU\..\Run: [SystemScript] "C:\Users\Stan\AppData\Local\Microsoft\Windowssystem.vbs"
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b6282cb2dd62c865a37c8e2a057f77e2&text=

Сделайте новые логи

Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Сделайте такой лог

[miheychik]

Выполните скрипт в AVZ не удалось папка Quarantine имеет только пустую папку 2014-10-16 файла с архивированим вирусом нет

[thyrex]

Это не значит, что скрипт не выполнился

Ждем запрошенные логи

[miheychik]

Подскажите в какой папке лежит скрипт avz чтобы добавить согласно приложения 2. И подскажите если добовлять отчёты нужно опять тему создать? Зарание спасибо

[thyrex]

подскажите если добовлять отчёты нужно опять тему создать?

Зачем новую. Просто прикрепите новые отчеты к следующему своему сообщению в этой теме

[miheychik]

Сделал новые логи
Пофиксил в HiJack
Сделал лог полного сканирования МВАМ
Сделал логи RSIT
Сделал такой лог

- - - - -Добавлено - - - - -

Скрипт avz сделал чтобы добавить согласно приложения 2. Но не знаю из какой папки его добавить. Папка Quarantine файла для загрузки не имеет.

[thyrex]

Пересоздайте ярлыки

C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\Public\Desktop\Opera.lnk
C:\Users\Stan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk
C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\Stan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
C:\Users\Stan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera12.17 1863.lnk
C:\Users\Stan\AppData\Roaming\Microsoft\Windows\St art Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Stan\AppData\Roaming\Microsoft\Windows\St art Menu\Programs\Internet Explorer.lnk

Удалите папки

C:\ProgramData\Baidu
C:\Program Files (x86)\baidu
C:\Users\Stan\AppData\Roaming\eTranslator
C:\Users\Stan\AppData\Roaming\Mail.RU NewGamesT
C:\Users\Stan\AppData\Roaming\tor
C:\Users\Stan\AppData\Roaming\Microsoft DB
C:\Users\Stan\AppData\Roaming\Baidu
C:\Users\Stan\AppData\Roaming\GemWare
C:\Users\Stan\AppData\Roaming\Tor Project
C:\Users\Stan\AppData\Roaming\ICL

Для расшифровки пробуйте http://support.kaspersky.ru/viruses/disinfection/10556

[miheychik]

Пересоздайте ярлыки. Извините это как? Пойти по этому пути и окончание поменять на .lnk

[thyrex]

Пересоздайте ярлыки. Извините это как?

Окончание у них и так нужное. Пересоздать: удалить старые, создать новые

[miheychik]

Утилита RakhniDecryptor для борьбы с вредоносной программой Trojan-Ransom.Win32.Rakhni (.oshit и другие) Спасла мою ситуацию. Всем огромное спасибо. Компьютер не мой. Дали попользоваться. Надеюсь осталось только доудалять текстовые "файлы" блокнот сообщающие о закодировке файлов.
Будут еще какие не будь рекомендации?

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[miheychik]

Прикрепляю файл проверки в AVZ при наличии доступа в интернет:
в блокноте не открылся файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. Значит всё нормально? И подскажите прогу для удаления одинаковых файлов после вируса AES 256 в формате txt. Таких файлом миллион, в каждой папке.

;;;Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.
Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.

Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.
TOR: https://www.torproject.org/ | Видео инструкция: http://youtu.be/43feBLwHzn0
url_1: http://y6kpyefykdvswxps.onion:4567/pay.html
url_2: http://gi3ruskskqzff2rw.onion:4567/pay.html
HashKey: a4190d161c9c89564091b198d3f3bf87
ID: 14362;;;

[regist]

в блокноте не открылся файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. Значит всё нормально?

да.

И подскажите прогу для удаления одинаковых файлов после вируса AES 256 в формате txt. Таких файлом миллион, в каждой папке.

стандартный поиск виндоус по имени файла, а потом удаление всего найденного. Либо любая другая программа, которая может искать по имени файлов.