Зашифорованы файлы AES256

Printable View

11.10.2014, 02:23
Игорь Витальевич

Вложений: 2

Зашифорованы файлы AES256

Зашифорованы файлы AES256. Касперским проверил, трояны вылечил/удалил. Логи прикрепляю, но архива [B]virusinfo_syscure.zip [/B]нет в папке LOG.
11.10.2014, 02:24
Info_bot

Уважаемый(ая) [B]Игорь Витальевич[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
11.10.2014, 11:38
mike 1

Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFileF('%USERPROFILE%\appdata\roaming\mail.ru newgamest', '*', true, ' ', 0, 0);
QuarantineFileF('%USERPROFILE%\AppData\Roaming\runWIN', '*', true, ' ', 0, 0);
QuarantineFileF('%USERPROFILE%\AppData\Roaming\ICL', '*', true, ' ', 0, 0);
QuarantineFileF('%USERPROFILE%\AppData\Roaming\GemWare', '*', true, ' ', 0, 0);
QuarantineFileF('%USERPROFILE%\AppData\Roaming\Microsoft DB', '*', true, ' ', 0, 0);
QuarantineFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
QuarantineFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Главное меню\Программы\Автозагрузка\runWIN.exe','');
DeleteFile('%USERPROFILE%\AppData\Roaming\runWIN\Update.exe','32');
DeleteFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Главное меню\Программы\Автозагрузка\runWIN.exe','32');
DeleteFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');
DeleteFileMask('%USERPROFILE%\appdata\roaming\mail.ru newgamest', '*', true, ' ');
DeleteFileMask('%USERPROFILE%\AppData\Roaming\runWIN', '*', true, ' ');
DeleteFileMask('%USERPROFILE%\AppData\Roaming\ICL', '*', true, ' ');
DeleteFileMask('%USERPROFILE%\AppData\Roaming\GemWare', '*', true, ' ');
DeleteFileMask('%USERPROFILE%\AppData\Roaming\Microsoft DB', '*', true, ' ');
DeleteDirectory('%USERPROFILE%\appdata\roaming\mail.ru newgamest');
DeleteDirectory('%USERPROFILE%\AppData\Roaming\runWIN');
DeleteDirectory('%USERPROFILE%\AppData\Roaming\ICL');
DeleteDirectory('%USERPROFILE%\AppData\Roaming\GemWare');
DeleteDirectory('%USERPROFILE%\AppData\Roaming\Microsoft DB');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

Скачайте ComboFix [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]здесь[/url] и сохраните в корень диска С.

1. [color=red]Внимание![/color] Обязательно закройте все браузеры, [URL="http://virusinfo.info/showthread.php?t=130828"]временно выключите антивирус, firewall и другое защитное программное обеспечение[/URL]. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите [b]combofix.exe[/b], когда процесс завершится, скопируйте текст из [b]C:\ComboFix.txt[/b] и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe
11.10.2014, 14:20
Игорь Витальевич

Вложений: 3

Все сделал, карантин загрузил, новые логи приклепляю
11.10.2014, 14:56
mike 1

Скопируйте текст ниже в Блокнот и [COLOR="#0000CD"]сохраните[/COLOR] как файл с названием [B]CFScript.txt[/B] [COLOR="#0000CD"][B]в корень диска С.[/B][/COLOR]
[code]
KillAll::

File::
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\bd64_x64.dll
c:\windows\system32\bd64_x86.dll
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\drivers\bd0004.sys
c:\windows\system32\DRIVERS\BDMWrench_x64.sys

Driver::
BDMWrench_x64
BDSafeBrowser
bd0004
BDMWrench
BDArKit
BDSGRTP

Folder::
c:\users\Игорь\AppData\Roaming\Baidu
c:\program files (x86)\Common Files\Baidu
c:\programdata\Baidu
c:\program files (x86)\baidu

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"baidu"=-

DDS::
uStart Page = hxxp://1kanal.org/?src=hp1

FileLook::
c:\windows\SysWow64\drivers\ntfs.sys

DirLook::

Reboot::
[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[IMG]http://savepic.org/5315621m.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
12.10.2014, 02:24
Игорь Витальевич

Вложений: 1

Сделано
12.10.2014, 12:30
thyrex

Папку c:\users\Игорь\AppData\Local\Programs удалите
12.10.2014, 23:54
Игорь Витальевич

[QUOTE=thyrex;1171455]Папку c:\users\Игорь\AppData\Local\Programs удалите[/QUOTE]
Готово.
13.10.2014, 01:13
mike 1

Деинсталлируйте ComboFix: нажмите [b]Пуск[/b] => [b]Выполнить[/b] в окне наберите команду [b]Combofix /Uninstall[/b], нажмите кнопку "[b]ОК[/b]"

[IMG]http://s16.radikal.ru/i191/1003/6c/671e520b7c2d.jpg[/IMG]

Скачайте [url="http://oldtimer.geekstogo.com/OTC.exe"]OTCleanIt[/url], запустите, нажмите [B]Clean up[/B]

Пробуйте [url]http://support.kaspersky.ru/viruses/disinfection/10556[/url]
13.10.2014, 02:00
Игорь Витальевич

Все сделал. [B]RakhniDecryptor[/B] ответил, что "Невозможно подобрать пароль"
13.10.2014, 10:53
mike 1

Значит с расшифровкой не поможем.
13.10.2014, 11:46
Игорь Витальевич

[QUOTE=mike 1;1171931]Значит с расшифровкой не поможем.[/QUOTE]
Тогда такой вопрос: возможно ли зашифрованные файлы, которые мне важны, перенести на отдельный носитель и хранить их там, до появления более совершенного дешифратора, чтобы потом их расшифровать?
13.10.2014, 12:07
mike 1

Да.
17.10.2014, 20:27
thyrex

[url]http://support.kaspersky.ru/viruses/disinfection/10556[/url] пробуйте снова
19.10.2014, 16:23
Игорь Витальевич

Все, помогло! Все расшифровано, спасибо)
19.10.2014, 16:40
regist

Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
19.10.2014, 16:50
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]