Здравствуйте! Столкнулся с такой проблемой: все файлы зашифровало в формат AES256. Подскажите что делать и как с этим бороться??!
Printable View
Здравствуйте! Столкнулся с такой проблемой: все файлы зашифровало в формат AES256. Подскажите что делать и как с этим бороться??!
Уважаемый(ая) [B]Эмиль Гарипов[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url]http://virusinfo.info/pravila.html[/url]
Не могу прикрепить файлы
[url]http://virusinfo.info/showthread.php?t=121951[/url]
[ATTACH=CONFIG]500378[/ATTACH]
[ATTACH=CONFIG]500379[/ATTACH]
[ATTACH=CONFIG]500380[/ATTACH]
[QUOTE][B][COLOR=Navy]Внимание !!![/COLOR][/B] База поcледний раз обновлялась 23.02.2014 [B]необходимо обновить базы[/B] при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.43.[/QUOTE]
Пожалуйста, обновите базы и сделайте новые логи.
+ [LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
[ATTACH=CONFIG]500466[/ATTACH]
[ATTACH=CONFIG]500467[/ATTACH]
[ATTACH=CONFIG]500468[/ATTACH]
Здравствуйте!
timetasks - сами ставили?
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Program Files (x86)\baidu\baidu.exe','');
QuarantineFile('C:\ProgramData\Program status\scheck.exe','');
QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
QuarantineFileF('C:\ProgramData\Program status\','*.exe, *.dll', true,'',0 ,0);
DeleteFile('C:\ProgramData\Program status\scheck.exe','32');
DeleteFile('C:\ProgramData\WindowsMangerPro','32');
DeleteFile('C:\Program Files (x86)\baidu\baidu.exe','32');
DeleteFile('C:\windows\system32\Tasks\{D54A4860-16C2-4B04-9DC0-7E28A01C6DB6}','64');
DeleteFileMask('C:\Program Files (x86)\baidu\', '*', true);
DeleteDirectory('C:\Program Files (x86)\baidu\');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Babakan','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\sCloudStatusCheck','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baidu','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\dbd708d3462fcd87d1d3ffae3c48fe9a552f401ae2e0060e','command');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
+ - Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.
[B]virusinfo_auto_имя_вашего_ПК.zip отпавил
[/B][COLOR=#000000]MD5 карантина: [/COLOR][B]C2F3C570C15667ADB461C2925894A536[/B][B]
вот новые логи
[/B][ATTACH=CONFIG]500517[/ATTACH]
[ATTACH=CONFIG]500518[/ATTACH]
[ATTACH=CONFIG]500519[/ATTACH]
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
ClearQuarantineEx(true);
QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
DeleteFileMask('C:\ProgramData\Program status\', '*', true);
DeleteDirectory('C:\ProgramData\Program status\');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Schedule','command');
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
- [url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
[ATTACH=CONFIG]500531[/ATTACH]
[ATTACH=CONFIG]500532[/ATTACH]
AVZ от имени администратора запускали? Антивирус отключали?
[url=http://virusinfo.info/showthread.php?t=4491]Профиксите[/url] в HijackThis
[CODE]O4 - HKCU\..\Run: [CMD] cmd.exe /c start http://adverttraff.org && exit[/CODE]
сделайте новый лог HijackThis
+ жду
[quote="regist;1169744"]Отчет после удаления прикрепите.[/quote] от AdwCleaner-а.
----------
отчёт по вашему карантина на вирусдетекторе [url]http://virusinfo.info/virusdetector/report.php?md5=C2F3C570C15667ADB461C2925894A536[/url]
AVZ запускал от имени администратора антивирусы отключал
[ATTACH=CONFIG]500551[/ATTACH]
[ATTACH=CONFIG]500552[/ATTACH]
Пробуйте [url]http://support.kaspersky.ru/viruses/disinfection/10556[/url]
[B]Kaspersky RakhniDecryptor пишет что невозможно подобрать пароль![/B]
Значит с расшифровкой не поможем.
ну просто щикарно
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
ну и на том спасибо
[b]Эмиль Гарипов[/b], прочитайте эту статью [url]http://virusinfo.info/showthread.php?t=164586[/url] возможно поможет получить нужный ключ для расшировки в ходе обыска у авторов трояна.
[url]http://support.kaspersky.ru/viruses/disinfection/10556[/url] пробуйте еще раз
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]