Зашифрованые файлы вирусом с кодом AES256
Здравствуйте!!!и также при откр
Помогитепожалуйста справится с вирусом и расшифровать мои файлы.
Сегодня заметилана компьютере, что все мои изображения, музыка, фильмызашифрованы в тип AES256. Также обнаружила, что на рабочем столе появился ярлык "Онлайн-консультант", при нажатии которого открывается окно с содержанием "Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления. И цена..."ытии фотографий. Что мне делать?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Слава Никитина, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Добавляю логи:
- - - - -Добавлено - - - - -
Что делать дальше???
- - - - -Добавлено - - - - -
- - - - -Добавлено - - - - -
Зараженные и зашифрованные файлы загрузила на dropbox https://www.dropbox.com/sh/bsm1mju7fm238vl/AABHc1aNKMyBnVn_5UN0a1E-a?dl=0
- - - - -Добавлено - - - - -
Зашифрованные фото:
Архив кто будет распаковывать перед тем как запускать утилиту? Переделывайте логи AVZ.C:\Users\Admin\AppData\Local\Temp\Rar$EXa0.155\avz 4\avz.exe
C:\Users\Admin\AppData\Local\Temp\Rar$EXa0.962\avz 4\avz.exe
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Сделала
- - - - -Добавлено - - - - -
Что делать дальше???
Еще раз архив нужно распаковать перед запуском утилиты!!!c:\users\admin\appdata\local\temp\rar$exa0.155\avz 4\avz.exe
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
А так??
- - - - -Добавлено - - - - -
Или
- - - - -Добавлено - - - - -
Извините пожалуйста если что-то не так как надо делаю, просто я с этим сталкиваюсь впервые. Я читала инструкцию и распаковала как Вы и писали, если обратно не правильно, можете описать подробнее как его распаковывать надо.
И какие из этой каши логов смотреть?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Думаю, последние...
Судя по логу опять утилиту запускали из архива.Command line:
"C:\Users\Admin\AppData\Local\Temp\Rar$EXa0.986\av z4\avz.exe"
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Ничего не понимаю, почему так. Я из архива извлекла в папку и оттуда уже запускала от имени администратора
- - - - -Добавлено - - - - -
И что же мне тогда делать?
Попробуйте сделать логи по этой http://virusinfo.info/showthread.php?t=121951 инструкции.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Делала все по видеоинструкцыи
Вот теперь правильно все сделали.
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Скачайте ComboFix здесь и сохраните в корень диска С.Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1412609777&from=exp&uid=SAMSUNGXHM641JI_S25YJDNZ901024 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f274c2a5f38c6ea9285de942a0aa00b8&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f274c2a5f38c6ea9285de942a0aa00b8&text={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1412609777&from=exp&uid=SAMSUNGXHM641JI_S25YJDNZ901024 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1412609777&from=exp&uid=SAMSUNGXHM641JI_S25YJDNZ901024&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1412609777&from=exp&uid=SAMSUNGXHM641JI_S25YJDNZ901024&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1412609777&from=exp&uid=SAMSUNGXHM641JI_S25YJDNZ901024 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://istart.webssearches.com/web/?type=ds&ts=1412609777&from=exp&uid=SAMSUNGXHM641JI_S25YJDNZ901024&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://istart.webssearches.com/web/?type=ds&ts=1412609777&from=exp&uid=SAMSUNGXHM641JI_S25YJDNZ901024&q={searchTerms} R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file) O2 - BHO: Music Search App (Dist. by Bandoo Media, Inc.) - {88d8ecb7-204f-4efd-8134-f6341f76c672} - C:\PROGRA~2\MUSICA~1\Datamngr\SRTOOL~1\IE\searchresultsDx.dll O3 - Toolbar: Music Search App (Dist. by Bandoo Media, Inc.) - {88d8ecb7-204f-4efd-8134-f6341f76c672} - C:\PROGRA~2\MUSICA~1\Datamngr\SRTOOL~1\IE\searchresultsDx.dll O4 - HKLM\..\Run: [Schedule] "C:\ProgramData\Schedule\timetasks.exe" O4 - HKCU\..\Run: [baidu] C:\Program Files (x86)\baidu\BindEx.exe O4 - HKCU\..\Run: [LoaderSystemWIN] C:\Users\Admin\AppData\Roaming\runWIN\Update.exe O4 - HKCU\..\Run: [RuningWIN32] C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe O4 - HKCU\..\Run: [NewLoadSystemWIN32] C:\Users\Admin\AppData\Roaming\runWIN\update.exe O4 - HKCU\..\Run: [Encrypt] C:\Users\Admin\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f274c2a5f38c6ea9285de942a0aa00b8&text=
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Хуу, наконец-то))
- - - - -Добавлено - - - - -
Сделала, что дальше?
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\drivers\BDMWrench.sys c:\windows\system32\bd64_x64.dll c:\windows\system32\bd64_x86.dll c:\windows\system32\drivers\BDArKit.sys c:\windows\system32\drivers\bd0001.sys c:\windows\system32\drivers\{2f0ff925-183b-4210-98f5-cb2ffd917f2b}Gw64.sys c:\windows\system32\drivers\BDSafeBrowser.sys c:\windows\system32\drivers\bd0004.sys c:\windows\system32\drivers\bd0001_1.sys c:\windows\system32\DRIVERS\BDMWrench_x64.sys Driver:: BDMWrench_x64 BDSafeBrowser {2f0ff925-183b-4210-98f5-cb2ffd917f2b}Gw64 bd0004 BDMWrench BDArKit BDSGRTP IePluginServices Folder:: c:\users\Admin\AppData\Roaming\FirefoxToolbar c:\program files (x86)\Music App c:\programdata\Datamngr c:\users\Admin\AppData\Roaming\Mail.RU NewGamesT c:\users\Admin\AppData\Roaming\Microsoft DB c:\users\Admin\AppData\Roaming\SupTab c:\program files (x86)\SupTab c:\programdata\IePluginServices c:\users\Admin\AppData\Roaming\337Games c:\users\Admin\AppData\Roaming\webssearches c:\program files (x86)\Adanak c:\users\Admin\AppData\Roaming\GoforFiles c:\program files (x86)\GoForFiles c:\users\Admin\AppData\Roaming\GemWare c:\users\Admin\AppData\Roaming\ICL c:\users\Admin\AppData\Roaming\Baidu c:\program files (x86)\Common Files\Baidu c:\programdata\Baidu c:\program files (x86)\baidu c:\users\Admin\AppData\Roaming\eTranslator c:\users\Admin\AppData\Roaming\bafhhmlkbcigapgkfdgfikhkkaihpjjn c:\program files (x86)\Twilight Tech c:\users\Admin\AppData\Roaming\cload2 Registry:: [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\~\Browser Helper Objects\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}] FileLook:: DirLook:: Reboot::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Я не могу прикрепить новый отчет ComboFix.txt, потому что нету места на менеджере вложений, как его освободить?
Мой кабинет => Вложениякак его освободить?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
О, спасибо)
- - - - -Добавлено - - - - -
Что дальше?
Уважаемый(ая) Слава Никитина, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
