Добрый день! помогите с расшифровкой AES256, пожалуйста...
примеры файлов:
http://www.fayloobmennik.net/4247092
http://www.fayloobmennik.net/4247095
http://www.fayloobmennik.net/4247113
Добрый день! помогите с расшифровкой AES256, пожалуйста...
примеры файлов:
http://www.fayloobmennik.net/4247092
http://www.fayloobmennik.net/4247095
http://www.fayloobmennik.net/4247113
Уважаемый(ая) olga4960, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; DelCLSID('{11292110-6F8D-4D56-863C-44902A1E7880}'); DelCLSID('{00890530-6A9F-4be2-B1BB-73F01E2BB986}'); QuarantineFile('C:\Users\Ольга\AppData\Roaming\runWIN\update.exe',''); QuarantineFile('C:\Users\Ольга\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe',''); QuarantineFile('C:\Users\Ольга\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe',''); DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','32'); DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','32'); DeleteFile('C:\Users\Ольга\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32'); DeleteFile('C:\Users\Ольга\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32'); DeleteFile('C:\Users\Ольга\AppData\Roaming\runWIN\update.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewRunWIN'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{00890530-6A9F-4be2-B1BB-73F01E2BB986}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduAnTray'); DeleteFileMask('C:\Users\Ольга\AppData\Roaming\runWIN', '*', true); DeleteDirectory('C:\Users\Ольга\AppData\Roaming\runWIN'); DeleteFileMask('C:\Users\Ольга\AppData\Roaming\Mail.RU NewGamesT', '*', true); DeleteDirectory('C:\Users\Ольга\AppData\Roaming\Mail.RU NewGamesT'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('c:\program files (x86)\baidu\baiduan\2.3.0.2225\baiduan.exe'); BC_DeleteFile('c:\program files (x86)\baidu\baiduan\2.3.0.2225\baiduansvc.exe'); BC_DeleteFile('c:\program files (x86)\baidu\baiduan\2.3.0.2225\baiduantray.exe'); BC_DeleteFile('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.443\baiduprotect.exe'); BC_DeleteFile('c:\program files (x86)\baidu\baidusd\1.8.0.1255\baidusdsvc.exe'); BC_DeleteFile('c:\program files (x86)\baidu\baidusd\1.8.0.1255\baidusdtray.exe'); BC_DeleteFile('C:\Program Files (x86)\baidu\BaiduSd\1.8.0.1255\BaiduSdUProxy64.exe'); BC_DeleteFile('c:\program files (x86)\baidu\baiduan\2.3.0.2225\bdaleakfixer.exe'); BC_DeleteFile('c:\program files (x86)\baidu\bindex.exe'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\ad.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\bdmantivirus\BDKitUtils.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\bdmantivirus\BDMAVEng.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\bdmantivirus\bduf.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\bdmantivirus\TrustAndIso.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BDMCommon.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BDMMainframe.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BDMScriptVM.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BDMSWNestCore.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BDMSWParseDetect.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BDMUpdate.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\BDMSOManagerPlugins\BDMSOCleanerPlugin.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\plugins\bdmsusplugins\BDMNetMonSusPlugin.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\plugins\bdmsusplugins\BDMSOAccSusPlugin.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\bdmtrayplugins\BDMSOAccTrayPlugin.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\TrustAndIso.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\bduf.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\BDUDiskGuard.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\BDMPerfMon.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\BDMAVEng.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\BDMAVCached.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\DriverManager.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\SafeBrowserDll.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\plugins\HIPS.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\plugins\BaiduRepair.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\dynplugins\AssistReportPlugin.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\DriverManager.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDMReport.dll'); BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys'); BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys'); BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys'); BC_DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys'); BC_DeleteSvc('BDSGRTP'); BC_DeleteSvc('bd0004'); BC_DeleteSvc('BDArKit'); BC_DeleteSvc('BDMWrench_x64'); BC_DeleteSvc('BDSafeBrowser'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnTray.exe'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BDShellExt.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BDSWShellExt.dll'); BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Сделайте такой лог
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
отправляю новые логи
- - - - -Добавлено - - - - -
в карантин ни один файл не добавляется, почему-то
Пофиксите в HIJack
Пересоздайте ярлыкиКод:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://startovka.ru
Сделайте лог ComboFixC:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\Public\Desktop\Opera.lnk
C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\Ольга\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\Users\Ольга\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Ольга\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
C:\Users\Ольга\AppData\Roaming\Microsoft\Windows\S tart Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Ольга\AppData\Roaming\Microsoft\Windows\S tart Menu\Programs\Internet Explorer.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
все сделала
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\drivers\BDDefense.sys c:\windows\SysWow64\drivers\BDArKit.sys c:\windows\system32\drivers\BDMWrench_x64.sys c:\windows\system32\bd64_x64.dll c:\windows\system32\bd64_x86.dll c:\windows\system32\drivers\bd0004.sys Driver:: BDAntiExp;BDAntiExp BDEnhanceBoost BDSafeBrowser bd0001 bd0002 bd0003 bd0004 BDMWrench_x64 BaiduHips BDArKit BDDefense BDKVRTP BDMNetMon BDMRTP BDSGRTP Folder:: c:\program files (x86)\Baidu c:\program files (x86)\baidu Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "baidu"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "baidusdTray"=- "BaiduAnTray"=- FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
несколько раз пыталась, но по окончании работы отчета никакого никуда не сохраняется. в процессе постоянно вылезает окно программы с иероглифами, которая не дает продолжить работу ComboFix. В диспетчере задач это выглядит как BaidyAnTray, завершить этот процесс не могу - отказано в доступе. До этого общалась с техподдержкой своего антивируса (Avast), пришли к выводу, что первоначальное приложение, запустившее всё дальше - MPC-x64. если надо, могу прислать файл
Попробуйте отключить запуск Baidu через mconfig в безопасном режиме. Сообщите результат
Для расшифровки пробуйте http://support.kaspersky.ru/viruses/disinfection/10556
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
утилита помогла, файла расшифрованы! огромное спасибо и большущий плюс к карме!
в безопасном режиме отключила службу Baidu, через панель управления две из трех удалила эти неизвестные программы, но третья никак не поддается - там только иероглифы, а методом тыка не получилось. отключила ее запуск.
Теперь пробуйте выполнить скрипт для ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
новый лог
удалите вручнуюc:\windows\system32\drivers\BDDefense.sys
c:\windows\SysWow64\drivers\BDArKit.sys
c:\windows\system32\drivers\BDMWrench_x64.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\drivers\bd0004.sys
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
все удалила. остались еще c:\windows\system32\drivers\bd0001.sys, c:\windows\system32\drivers\bd0002.sys, c:\windows\system32\drivers\bd0003.sys - их оставлять?
Удаляйте тоже
Удалите ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
все удалила
На этом всё
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Уважаемый(ая) olga4960, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.