вирус зашифровал файлы расширением AES256 [Trojan-Clicker.BAT.Small.bp, Trojan-Clicker.BAT.Small.bo ]

Printable View

23.10.2014, 22:42
ows

Вложений: 3

вирус зашифровал файлы расширением AES256 [Trojan-Clicker.BAT.Small.bp, Trojan-Clicker.BAT.Small.bo ]

Вот как-то так
23.10.2014, 22:43
Info_bot

Уважаемый(ая) [B]ows[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
23.10.2014, 23:00
regist

[url]http://virusinfo.info/pravila.html[/url]
24.10.2014, 14:19
ows

Вложений: 3

Высылаю Вам логи.
24.10.2014, 15:05
regist

[NOTICE][B][COLOR=Navy]Внимание !!![/COLOR][/B] База поcледний раз обновлялась 23.02.2014 [B]необходимо обновить базы[/B] при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.43.[/NOTICE]
Пожалуйста, обновите базы

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ExecuteAVUpdate;
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\Katya\AppData\Roaming\runWIN\Update.exe','');
QuarantineFile('C:\Users\Katya\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','');
QuarantineFile('C:\Users\Katya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
QuarantineFileF('C:\Users\Katya\AppData\Roaming\Mail.RU NewGamesT', '*', true, '', 0 ,0);
QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat', '');
QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat', '');
QuarantineFile('C:\Users\Katya\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe', '');
QuarantineFile('C:\Users\Katya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe', '');
DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','32');
DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','32');
DeleteFile('C:\Users\Katya\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32');
DeleteFile('C:\Users\Katya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
DeleteFile('C:\Users\Katya\AppData\Roaming\runWIN\Update.exe','32');
DeleteFileMask('C:\Users\Katya\AppData\Roaming\Mail.RU NewGamesT', '*', true);
DeleteDirectory('C:\Users\Katya\AppData\Roaming\Mail.RU NewGamesT');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

- сделайте лог [URL="http://dragokas.16mb.com/Safe/CheckBrowsersLNK.zip"]CheckBrowserLnk[/URL]
24.10.2014, 16:05
ows

Вложений: 3

Сделал все по инструкции. Жду дальнейших указаний. Спасибо.
24.10.2014, 17:00
regist

[url=http://virusinfo.info/showthread.php?t=4491]Профиксите[/url] в HijackThis

[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://1kanal.org/?src=hp1
O17 - HKLM\System\CCS\Services\Tcpip\..\{63F20A81-77F0-4335-B24F-57A1F8636A19}: NameServer = 0.0.0.0 0.0.0.0
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5059A9D-7EF7-48B7-973E-951266D3751E}: NameServer = 0.0.0.0 0.0.0.0[/CODE]
Сделайте свежий лог HijackThis

- Перетащите лог CheckBrowserLnk.log на [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.
24.10.2014, 17:19
ows

Вложений: 2

Задание выполнено
24.10.2014, 17:25
regist

Для расшифровки файлов пробуйте [URL='http://support.kaspersky.ru/viruses/disinfection/10556']RakhniDecryptor[/URL].
24.10.2014, 17:35
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\google\chrome\application\chrome.exe.bat - [B]Trojan-Clicker.BAT.Small.bo[/B] ( DrWEB: BAT.StartPage.42, AVAST4: BV:Runner-AN [Trj] )[*] c:\program files (x86)\internet explorer\iexplore.exe.bat - [B]Trojan-Clicker.BAT.Small.bp[/B] ( DrWEB: BAT.StartPage.42, AVAST4: BV:Runner-AN [Trj] )[/LIST][/LIST]