Шифровальщик .aes256

Printable View

13.10.2014, 08:13
stellar

Вложений: 3

Шифровальщик .aes256

Здравствуйте!
Вирус зашифровал файлы, оставил в папках текстовый документ ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt со следующим содержанием:
Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.
Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.

Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.
TOR: [url]https://www.torproject.org/[/url] | Видео инструкция: [url]http://youtu.be/43feBLwHzn0[/url]
url_1: [url]http://y6kpyefykdvswxps.onion:4567/pay.html[/url]
url_2: [url]http://gi3ruskskqzff2rw.onion:4567/pay.html[/url]
HashKey: 8dc68cb3ad7bfef8d010d235632bed3d
ID: 19649

Прикладываю логи, заранее спасибо
13.10.2014, 08:15
Info_bot

Уважаемый(ая) [B]stellar[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
13.10.2014, 11:09
mike 1

Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFileF('%USERPROFILE%\appdata\roaming\Mail.RU NewGamesT', '*', true, ' ', 0, 0);
QuarantineFileF('%USERPROFILE%\AppData\Roaming\runWIN', '*', true, ' ', 0, 0);
QuarantineFileF('%USERPROFILE%\AppData\Roaming\ICL', '*', true, ' ', 0, 0);
QuarantineFileF('%USERPROFILE%\AppData\Roaming\GemWare', '*', true, ' ', 0, 0);
QuarantineFileF('%USERPROFILE%\AppData\Roaming\Microsoft DB', '*', true, ' ', 0, 0);
QuarantineFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
QuarantineFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Главное меню\Программы\Автозагрузка\runWIN.exe','');
DeleteFile('%USERPROFILE%\AppData\Roaming\runWIN\Update.exe','32');
DeleteFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Главное меню\Программы\Автозагрузка\runWIN.exe','32');
DeleteFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');
DeleteFileMask('%USERPROFILE%\appdata\roaming\Mail.RU NewGamesT', '*', true, ' ');
DeleteFileMask('%USERPROFILE%\AppData\Roaming\runWIN', '*', true, ' ');
DeleteFileMask('%USERPROFILE%\AppData\Roaming\ICL', '*', true, ' ');
DeleteFileMask('%USERPROFILE%\AppData\Roaming\GemWare', '*', true, ' ');
DeleteFileMask('%USERPROFILE%\AppData\Roaming\Microsoft DB', '*', true, ' ');
DeleteDirectory('%USERPROFILE%\appdata\roaming\Mail.RU NewGamesT');
DeleteDirectory('%USERPROFILE%\AppData\Roaming\runWIN');
DeleteDirectory('%USERPROFILE%\AppData\Roaming\ICL');
DeleteDirectory('%USERPROFILE%\AppData\Roaming\GemWare');
DeleteDirectory('%USERPROFILE%\AppData\Roaming\Microsoft DB');
QuarantineFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','');
QuarantineFile('C:\Program Files\Google\Chrome\Application\chrome.exe.bat','');
DeleteFile('C:\Program Files\Google\Chrome\Application\chrome.exe.bat','32');
DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

[URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

[CODE]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://reque.ru
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

[/CODE]

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].

[LIST=1][*]Скачайте [b][url=http://virusinfo.info/soft/tool.php?tool=FixerBro]FixerBro by glax 24[/url][/b] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]FixerBro[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]В главном окне программы нажмите на кнопку [B]"Проверить"[/B][*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\FixerBro[/COLOR][/B] (лог в формате [b]FixerBro_yyyymmdd.txt[/b])[*]По окончанию сканирования нажмите на кнопку "[b]Отчет[/b]".[*]Сохраните лог утилиты[*]Прикрепите сохраненный отчет в вашей теме.[/LIST]
13.10.2014, 13:04
stellar

Вложений: 5

Сделала по инструкции
13.10.2014, 22:55
mike 1

[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B].[*]По окончанию сканирования снимите галочки со следующих строк:
[CODE]
Папка Найдено : C:\Users\Поьзователь\AppData\Local\Mail.Ru
Папка Найдено : C:\Users\Поьзователь\AppData\Local\MailRu
Папка Найдено : C:\Users\Поьзователь\AppData\LocalLow\Mail.Ru
[/CODE][*] Нажмите кнопку [B]"Clean"[/B] и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].

[LIST=1][*]Запустите повторно [b][color="Blue"]FixerBro by glax24[/b][/color]. [INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать через правую кн. мыши [b]от имени администратора[/b], на [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]Нажмите на кнопку [b]"Проверить"[/b], а по окончанию сканирования поставьте галочки напротив следующих строк и нажмите на кнопку [b]Исправить[/b]. Дождитесь окончания удаления.

[code]
C:\Users\Поьзователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [C:\Program Files\Internet Explorer\iexplore.exe.bat "http://reque.ru" - (Объект запуска не найден)]
C:\Users\Поьзователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk [C:\Program Files\Internet Explorer\iexplore.exe.bat "http://reque.ru" - (Объект запуска не найден)]
C:\Users\Поьзователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk [C:\Program Files\Google\Chrome\Application\chrome.exe.bat "http://reque.ru" - (Объект запуска не найден)]
C:\Users\Public\Desktop\Opera.lnk [C:\Program Files\Opera\opera.exe.bat "http://reque.ru"]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk [C:\Program Files\Opera\opera.exe.bat "http://reque.ru"]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk [C:\Program Files\Google\Chrome\Application\chrome.exe.bat "http://reque.ru" - (Объект запуска не найден)]
[/code]
[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [b][color="Blue"]C:\FixerBro[/b][/color]. (Лог в формате [b]FixerBro_yyyymmdd.txt[/b]).[*]По окончанию удаления нажмите на кнопку "[b]Отчет[/b]"[*]Сохраните лог утилиты[*]Прикрепите сохраненный отчет в вашей теме.[/LIST]
14.10.2014, 07:13
stellar

Вложений: 2

прикрепляю
14.10.2014, 14:13
mike 1

[LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=SITLog]SITLog[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]sitlog.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]В главном окне программы выберите проверку за последние три месяца и нажмите [B]"Старт"[/B][*]По окончанию работы программы в папке [b]LOG[/b] должны появиться два отчета [B]SITLog.txt[/B] и [B]SITLog_Info.txt[/B][*]Прикрепите эти отчеты в вашей теме.[/LIST]
16.10.2014, 09:55
stellar

Вложений: 2

готово
16.10.2014, 13:22
mike 1

Вложений: 1

[INFORMATION][color=#FF0000][b]Внимание![/b][/color] [color=#0000FF]Данный дешифратор предназначен только для пользователя [b]stellar[/b]
Во избежание [u]окончательной потери информации[/u] использовать данный дешифратор другим пострадавшим [/color][color=#FF0000][b]не рекомендуется[/b][/color][/INFORMATION]

Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов.

[url=http://rghost.ru/58393279]Дешифратор[/url]

[u]Принцип работы с дешифратором:[/u]

1. Сохраните дешифратор в отдельную созданную папку.

2. Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора.
16.10.2014, 14:26
stellar

Отлично, помогло!
Спасибо вам:thumbsup:
16.10.2014, 15:29
mike 1

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в AVZ при наличии доступа в интернет:

[CODE]
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
16.10.2014, 15:39
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]