зашифрованные файлы AES256

**Александр Александр** · 28.10.2014, 13:19

Здравствуйте, на компьютере сбилась системная дата, Avast отключился.
наползли трояны шифровальщики. Всё что мог полечил и удалил Dr.web live CD и Kaspersky Rescue Disk 10.0.
Но практически все документы, фотографии и медиафайлы получили расширение - aes256.
Прошу помощи. Логи вложил.

ссылка на архив с файлами: http://my-files.ru/85lh7h.sxema.doc.aes256.rar

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 28.10.2014, 13:21

Уважаемый(ая) Александр Александр, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**regist** · 28.10.2014, 15:19

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFileF('C:\Users\Алексей\AppData\Roaming\Mail.RU NewGamesT', '*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Алексей\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe', '');
 QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe', '');
 QuarantineFile('C:\Users\Алексей\AppData\Roaming\askme\minecraft-goldmods.ru.url','');
 QuarantineFile('C:\Users\Алексей\AppData\Roaming\runWIN\update.exe','');
 QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
 QuarantineFile('C:\Users\Алексей\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','');
 DeleteFile('C:\Users\Алексей\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32');
 DeleteFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
 DeleteFile('C:\Users\Алексей\AppData\Roaming\askme\minecraft-goldmods.ru.url','32');
 DeleteFileMask('C:\Users\Алексей\AppData\Roaming\Mail.RU NewGamesT', '*', true);
 DeleteDirectory('C:\Users\Алексей\AppData\Roaming\Mail.RU NewGamesT');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewRunWIN');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','minecraft-gold');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Muzabaza player - если не используете удалите.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

- сделайте лог CheckBrowserLnk

**Александр Александр** · 31.10.2014, 10:38

Доброго дня. сделал повторные логи, отчеты AdwCleaner и CheckBrowser.
При загрузке quarantine.zip по ссылке вверху темы выскакивает ошибка, мол такой файл уже загружен.

**regist** · 31.10.2014, 12:37

Вы где-то ещё лечитесь? uVS зачем запускали?

- - - - -Добавлено - - - - -

+
1) - Удалите в AdwCleaner всё кроме папок от mail.ru и AlawarWrapper - если программами от mail.ru и Alawar не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

2) Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFileF('C:\Users\Алексей\AppData\Roaming\Mail.RU NewGamesT', '*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Алексей\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe', '');
 QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe', '');
 QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
 QuarantineFile('C:\Users\Алексей\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','');
 QuarantineFile('C:\Users\Алексей\Desktop\Ваш консультант.lnk', '');
 QuarantineFile('C:\Users\Алексей\AppData\Roaming\Mail.RU NewGamesT\tiket.exe', '');
 DeleteFile('C:\Users\Алексей\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32');
 DeleteFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
 DeleteFile('C:\Users\Алексей\AppData\Roaming\runWIN\update.exe','32');
 DeleteFile('C:\Users\Алексей\Desktop\Ваш консультант.lnk');
 DeleteFile('C:\Users\Алексей\AppData\Roaming\Mail.RU NewGamesT\tiket.exe');
 DeleteFileMask('C:\Users\Алексей\AppData\Roaming\Mail.RU NewGamesT', '*', true);
 DeleteDirectory('C:\Users\Алексей\AppData\Roaming\Mail.RU NewGamesT');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewRunWIN');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','minecraft-gold');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Профиксите в HijackThis

Код:

R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O3 - Toolbar: (no name) - {5BCDC9E9-A980-4B53-B2E8-60CFF484DA61} - (no file)
O18 - Protocol: base64 - (no CLSID) - (no file)
O18 - Protocol: chrome - (no CLSID) - (no file)

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

**Александр Александр** · 31.10.2014, 16:15

спасибо, тему можно закрыть. повезло. расшифровал всё с помощью: http://media.kaspersky.com/utilities...idecryptor.exe

**regist** · 31.10.2014, 18:39

то что расшифровали это хорошо, но вирус по прежнему у вас в системе. Если хотите и дальше быть с вирусом это ваше, право, но надеюсь, что захотите продолжить лечение.

+ ответьте на вопрос