Снова расшифровка файлов aes256 [not-a-virus:AdWare.Win32.MMag.k ]

ЗДравствуйте! Помогите расшифровать файлы.

Уважаемый(ая) [B]vladdrac10[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[QUOTE]savepass
baidu[/QUOTE] удалите через Установку программ

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Admin\appdata\roaming\mail.ru newgamest\api.dll','');
QuarantineFile('C:\Windows\cuda.exe','');
QuarantineFile('c:\windows\core.exe','');
QuarantineFile('C:\Program Files\Uniblue\SpeedUpMyPC\speedupmypc.exe','');
QuarantineFile('C:\Users\Admin\AppData\Roaming\newSI_2\s_inst.exe','');
QuarantineFile('C:\Program Files\SavePass\SavePass-nova.exe','');
QuarantineFile('C:\Program Files\SavePass\SavePass-novainstaller.exe','');
QuarantineFile('C:\Program Files\SavePass\b0625964-2eb3-4760-87c9-78a749ff7827-5.exe','');
QuarantineFile('C:\Program Files\SavePass\b0625964-2eb3-4760-87c9-78a749ff7827-4.exe','');
QuarantineFile('C:\Program Files\SavePass\b0625964-2eb3-4760-87c9-78a749ff7827-2.exe','');
QuarantineFile('C:\Program Files\SavePass\b0625964-2eb3-4760-87c9-78a749ff7827-11.exe','');
QuarantineFile('C:\Program Files\SavePass\b0625964-2eb3-4760-87c9-78a749ff7827-10.exe','');
QuarantineFile('C:\Program Files\SavePass\SavePass-codedownloader.exe','');
DelBHO('{11111111-1111-1111-1111-110511701150}');
QuarantineFile('C:\Program Files\SavePass\SavePass-bho.dll','');
QuarantineFile('C:\Users\Admin\LOCALS~1\Temp\msvlcaq.com','');
QuarantineFile('C:\Program Files\Obnovi Soft\ObnoviSoft.exe','');
QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
QuarantineFile('C:\ProgramData\Program status\scheck.exe','');
TerminateProcessByName('c:\program files\savepass\b0625964-2eb3-4760-87c9-78a749ff7827-10.exe');
QuarantineFile('c:\program files\savepass\b0625964-2eb3-4760-87c9-78a749ff7827-10.exe','');
DeleteFile('c:\program files\savepass\b0625964-2eb3-4760-87c9-78a749ff7827-10.exe','32');
DeleteFile('C:\Program Files\Google\chrome.bat','32');
DeleteFile('C:\ProgramData\Program status\scheck.exe','32');
DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\Program Files\Obnovi Soft\ObnoviSoft.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Обнови Софт','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\sCloudStatusCheck','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Schedule','command');
DeleteFile('C:\Users\Admin\AppData\Local\Amigo\Application\amigo.exe','32');
DeleteFile('C:\Users\Admin\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\Users\Admin\LOCALS~1\Temp\msvlcaq.com','32');
DeleteFile('C:\Program Files\SavePass\SavePass-bho.dll','32');
DeleteFile('C:\Program Files\SavePass\SavePass-codedownloader.exe','32');
DeleteFile('C:\Windows\system32\Tasks\b0625964-2eb3-4760-87c9-78a749ff7827-1','32');
DeleteFile('C:\Program Files\SavePass\b0625964-2eb3-4760-87c9-78a749ff7827-10.exe','32');
DeleteFile('C:\Windows\system32\Tasks\b0625964-2eb3-4760-87c9-78a749ff7827-10','32');
DeleteFile('C:\Windows\system32\Tasks\b0625964-2eb3-4760-87c9-78a749ff7827-11','32');
DeleteFile('C:\Program Files\SavePass\b0625964-2eb3-4760-87c9-78a749ff7827-11.exe','32');
DeleteFile('C:\Program Files\SavePass\b0625964-2eb3-4760-87c9-78a749ff7827-2.exe','32');
DeleteFile('C:\Windows\system32\Tasks\b0625964-2eb3-4760-87c9-78a749ff7827-2','32');
DeleteFile('C:\Program Files\SavePass\b0625964-2eb3-4760-87c9-78a749ff7827-4.exe','32');
DeleteFile('C:\Windows\system32\Tasks\b0625964-2eb3-4760-87c9-78a749ff7827-4','32');
DeleteFile('C:\Windows\system32\Tasks\b0625964-2eb3-4760-87c9-78a749ff7827-5','32');
DeleteFile('C:\Program Files\SavePass\b0625964-2eb3-4760-87c9-78a749ff7827-5.exe','32');
DeleteFile('C:\Windows\system32\Tasks\b0625964-2eb3-4760-87c9-78a749ff7827-5_user','32');
DeleteFile('C:\Windows\system32\Tasks\b0625964-2eb3-4760-87c9-78a749ff7827-6','32');
DeleteFile('C:\Program Files\SavePass\SavePass-novainstaller.exe','32');
DeleteFile('C:\Windows\system32\Tasks\b0625964-2eb3-4760-87c9-78a749ff7827-7','32');
DeleteFile('C:\Program Files\SavePass\SavePass-nova.exe','32');
DeleteFile('C:\Users\Admin\AppData\Roaming\newSI_2\s_inst.exe','32');
DeleteFile('C:\Windows\system32\Tasks\newSI_2','32');
DeleteFile('C:\Windows\system32\Tasks\newSI_23','32');
DeleteFile('C:\Program Files\Uniblue\SpeedUpMyPC\speedupmypc.exe','32');
DeleteFile('C:\Windows\system32\Tasks\SpeedUpMyPC Maintenance','32');
DeleteFile('C:\Windows\system32\Tasks\SpeedUpMyPC Startup','32');
DeleteFile('c:\windows\core.exe','32');
DeleteFile('C:\Windows\system32\Tasks\UpCH','32');
DeleteFile('c:\users\admin\appdata\local\amigo\application\amigo.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{8BD9CF05-08A6-4268-BE6F-0E9AEBAA3592}','32');
DeleteFile('C:\Windows\system32\Tasks\{ED4FD45C-DD1B-4D65-9C28-9DC54A7C324B}','32');
DeleteFile('C:\Windows\cuda.exe','32');
DeleteFile('C:\Users\Admin\appdata\roaming\mail.ru newgamest\api.dll','32');
DeleteFileMask('c:\users\admin\AppData\Roaming\runWIN', '*', true);
DeleteDirectory('c:\users\admin\AppData\Roaming\runWIN');
DeleteFileMask('c:\users\admin\AppData\Roaming\Mail.RU NewGamesT', '*', true);
DeleteDirectory('c:\users\admin\AppData\Roaming\Mail.RU NewGamesT');
DeleteFileMask('c:\programdata\schedule', '*', true);
DeleteDirectory('c:\programdata\schedule');
DeleteFileMask('C:\ProgramData\Program status', '*', true);
DeleteDirectory('C:\ProgramData\Program status');
DeleteFileMask('C:\Program Files\Uniblue', '*', true);
DeleteDirectory('C:\Program Files\Uniblue');
DeleteFileMask('C:\Users\Admin\AppData\Roaming\newSI_2', '*', true);
DeleteDirectory('C:\Users\Admin\AppData\Roaming\newSI_2');
DeleteFileMask('C:\Program Files\SavePass', '*', true);
DeleteDirectory('C:\Program Files\SavePass');
DeleteFileMask('C:\Program Files\Obnovi Soft', '*', true);
DeleteDirectory('C:\Program Files\Obnovi Soft');
DeleteFileMask('C:\Program Files\Zaxar', '*', true);
DeleteDirectory('C:\Program Files\Zaxar');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
Сделайте [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]такой лог[/url]

Вот сделал новые логи.

Поместите в карантин МВАМ всё, [B]кроме[/B]
[CODE]PUP.Hacktool, C:\Program Files\Microsoft Office\Activator\mKMSAct.exe, , [fb7ade35fe7e0d297f5f2468eb154ab6],
Hacktool.CheatEngine, D:\30.04.2014\???°??N?N??·????\CrazyKybezymie 2 v42(1).EXE, , [165f70a3225a54e28fb8b48679876799],
Hacktool.CheatEngine, D:\30.04.2014\???°??N?N??·????\CrazyKybezymie 2 v42.EXE, , [4530a46f89f303335ee981b96a96b050],
Hacktool.CheatEngine, D:\30.04.2014\???°??N?N??·????\CrazyKybezymue2 v41.exe, , [7bfa54bfe4981224ff486cce26da7888],
Hacktool.CheatEngine, D:\???°??N?\(???°????N??°N?N?)\FrostoHacksKopatel v57.exe, , [91e4957e0d6f0b2bccc851e4c8395ba5], [/CODE]

Пересоздайте ярлык C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

А теперь это.

Скопируйте текст ниже в Блокнот и сохраните как файл с названием [B]CFScript.txt[/B] [B][COLOR="#0000CD"]в корень диска С[/COLOR][/B]
[code]KillAll::

File::
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\drivers\bd0004.sys
c:\windows\system32\drivers\BDEnhanceBoost.sys

Driver::
BDSafeBrowser
bd0004
BDEnhanceBoost
BDMWrench
BDArKit
BDSGRTP

Folder::
c:\users\Admin\AppData\Roaming\Microsoft DB
c:\users\Admin\AppData\Roaming\GemWare
c:\users\Admin\AppData\Roaming\ICL
c:\users\Admin\AppData\Roaming\Baidu
c:\program files\Common Files\Baidu
c:\programdata\Baidu
c:\program files\test
c:\users\Admin\AppData\Roaming\Obnovi Soft

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\amigo]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Schedule]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\sCloudStatusCheck]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ZaxarLoader]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Обнови Софт]

DDS::
uDefault_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=024408d7c7c649fb3e64600bf6d99904&text={searchTerms}
[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://savepic.org/5315621m.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

Есть такое

Папку C:\supermegabest удалите

[url]http://support.kaspersky.ru/viruses/disinfection/10556[/url] пробуйте

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Обнови Софт','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\sCloudStatusCheck','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Schedule','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command');
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

Есть

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Program Files\SavePass\Uninstall.exe','');
QuarantineFile('C:\Users\Admin\AppData\Local\Temp\9B7364B0.sys','');
QuarantineFile('C:\Users\Admin\appdata\roaming\newsi_23\s_inst.exe','');
QuarantineFileF('C:\Users\Admin\appdata\roaming\newsi_23\','*.exe', true,'',0 ,0);
DeleteFile('C:\Program Files\SavePass\Uninstall.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{E0DE1ADB-5964-4BEC-9A58-454EFB6DB70C}','32');
DeleteFile('C:\Users\Admin\appdata\roaming\newsi_23\s_inst.exe','32');
DeleteFile('C:\Users\Admin\appdata\roaming\newsi_23\s_inst.exe', '32');
DeleteFileMask('C:\Users\Admin\appdata\roaming\newsi_23\', '*', true);
DeleteDirectory('C:\Users\Admin\appdata\roaming\newsi_23\');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])


[quote="thyrex;1171559"]http://support.kaspersky.ru/viruses/disinfection/10556 пробуйте[/quote]
пробовали?

[url]http://support.kaspersky.ru/viruses/disinfection/10556[/url]
Пробовал, не расшифровует.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

ещё раз

прочитайте эту статью [url]http://virusinfo.info/showthread.php?t=164586[/url] возможно поможет получить нужный ключ для расшировки в ходе обыска у авторов трояна.

Это значит, что ничего не выйдет. Я правильно понимаю?

ну, если вы будете сидеть и ждать пока вам преподнесут всё готовое, вместо того чтобы попытаться, написать заявление, то да не ничего не выйдет.

Понятно. И на том спасибо!

Деинсталлируйте ComboFix: нажмите [b]Пуск[/b] => [b]Выполнить[/b] в окне наберите команду [b]Combofix /Uninstall[/b], нажмите кнопку "[b]ОК[/b]"

[IMG]http://s16.radikal.ru/i191/1003/6c/671e520b7c2d.jpg[/IMG]

Скачайте [url="http://oldtimer.geekstogo.com/OTC.exe"]OTCleanIt[/url], запустите, нажмите [B]Clean up[/B]

Снова пробуйте [URL='http://support.kaspersky.ru/viruses/disinfection/10556']RakhniDecryptor[/URL], она обновилась.

[url]http://support.kaspersky.ru/viruses/disinfection/10556[/url] снова пробуйте