Добрый день! У меня почти все файлы приняли расширение .AES256. Для получения ключа просят оплатить от 15 до 50 $.
Помогите разобраться с проблемой!
Добрый день! У меня почти все файлы приняли расширение .AES256. Для получения ключа просят оплатить от 15 до 50 $.
Помогите разобраться с проблемой!
Уважаемый(ая) Islik, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin ExecuteAVUpdate; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; TerminateProcessByName('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.443\baiduprotect.exe'); SetServiceStart('bd0002', 4); SetServiceStart('BDSafeBrowser', 4); SetServiceStart('BDMWrench', 4); SetServiceStart('BDEnhanceBoost', 4); SetServiceStart('BDArKit', 4); SetServiceStart('bd0004', 4); SetServiceStart('bd0001', 4); SetServiceStart('BDSGRTP', 4); StopService('bd0002'); StopService('BDSafeBrowser'); StopService('BDMWrench'); StopService('BDEnhanceBoost'); StopService('BDArKit'); StopService('bd0004'); StopService('bd0001'); StopService('BDSGRTP'); QuarantineFile('C:\Users\дима\AppData\Roaming\runWIN\update.exe',''); QuarantineFile('C:\Users\дима\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe',''); QuarantineFile('C:\Users\дима\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe',''); QuarantineFile('C:\Program Files\Internet Explorer\iexplore.exe.bat',''); QuarantineFile('C:\Program Files\Google\Chrome\Application\chrome.exe.bat',''); DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BaiduProtect.exe','32'); DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32'); DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys','32'); DeleteFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32'); DeleteFile('C:\Program Files\Google\Chrome\Application\chrome.exe.bat','32'); DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32'); DeleteFile('C:\Program Files\Mobogenie\DaemonProcess.exe','32'); DeleteFile('C:\Users\дима\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32'); DeleteFile('C:\Users\дима\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32'); DeleteFile('C:\Users\дима\AppData\Roaming\runWIN\update.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Funmoods','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewRunWIN'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32'); DeleteService('bd0002'); DeleteService('BDSafeBrowser'); DeleteService('BDMWrench'); DeleteService('BDEnhanceBoost'); DeleteService('BDArKit'); DeleteService('bd0004'); DeleteService('bd0001'); DeleteService('BDSGRTP'); DeleteFileMask('C:\Users\дима\AppData\Roaming\runWIN', '*', true, ' '); DeleteFileMask('C:\Users\дима\AppData\Roaming\Mail.RU NewGamesT', '*', true, ' '); DeleteFileMask('C:\Program Files\Common Files\Baidu', '*', true, ' '); DeleteDirectory('C:\Program Files\Common Files\Baidu'); DeleteDirectory('C:\Users\дима\AppData\Roaming\runWIN'); DeleteDirectory('C:\Users\дима\AppData\Roaming\Mail.RU NewGamesT'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BaiduProtect.exe'); BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys'); BC_DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys'); BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys'); BC_DeleteFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys'); BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys'); BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys'); BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys'); BC_DeleteSvc('BDSGRTP'); BC_DeleteSvc('bd0001'); BC_DeleteSvc('bd0004'); BC_DeleteSvc('BDArKit'); BC_DeleteSvc('BDEnhanceBoost'); BC_DeleteSvc('BDMWrench'); BC_DeleteSvc('BDSafeBrowser'); BC_DeleteSvc('bd0002'); BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search O4 - HKCU\..\Run: [NewLoadSystemWIN32] C:\Users\дима\AppData\Roaming\runWIN\update.exe O4 - HKCU\..\Run: [NewRunWIN] C:\Users\дима\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe O4 - HKCU\..\Run: [Encrypt] C:\Users\дима\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите FixerBro
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да- В главном окне программы нажмите на кнопку "Проверить"
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
- По окончанию сканирования нажмите на кнопку "Отчет".
- Сохраните лог утилиты
- Прикрепите сохраненный отчет в вашей теме.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Повторные логи и отчеты AdwCleaner и FixerBro.
- Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
- По окончанию сканирования снимите галочки со следующих строк:
Код:***** [ Службы ] ***** Служба Найдено : KMService ***** [ Файлы / Папки ] ***** Папка Найдено : C:\Program Files\Mail.Ru Папка Найдено : C:\Users\Администратор\AppData\Local\Mail.Ru Папка Найдено : C:\Users\дима\AppData\Local\Mail.Ru Папка Найдено : C:\Users\дима\AppData\Local\Media Get LLC Папка Найдено : C:\Users\дима\AppData\Local\MediaGet2 Папка Найдено : C:\Users\дима\AppData\LocalLow\Mail.Ru Папка Найдено : C:\Users\дима\AppData\Roaming\Mail.Ru Папка Найдено : C:\Users\дима\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru Папка Найдено : C:\Users\дима\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2 Папка Найдено : C:\Users\дима\AppData\Roaming\Mra Файл Найдено : C:\Windows\system32\srvany.exe- Нажмите кнопку "Clean" и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Подробнее читайте в этом руководстве.
- Запустите повторно FixerBro by glax24.
Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да- Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив следующих строк и нажмите на кнопку Исправить. Дождитесь окончания удаления.
Код:C:\Users\дима\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [C:\Program Files\Internet Explorer\iexplore.exe.bat "http://www.bvs-ner.com/" - (Объект запуска не найден)] C:\Users\дима\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk [C:\Program Files\Internet Explorer\iexplore.exe.bat "http://www.bvs-ner.com/" - (Объект запуска не найден)] C:\Users\дима\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk [C:\Program Files\Google\Chrome\Application\chrome.exe.bat "http://www.bvs-ner.com/" - (Объект запуска не найден)] C:\Users\дима\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk [C:\Program Files\Internet Explorer\iexplore.exe.bat "http://www.bvs-ner.com/" - (Объект запуска не найден)] C:\Users\дима\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk [C:\Program Files\Opera\launcher.exe.bat "http://www.bvs-ner.com/"] C:\Users\Public\Desktop\Google Chrome.lnk [C:\Program Files\Google\Chrome\Application\chrome.exe.bat "http://www.bvs-ner.com/" - (Объект запуска не найден)] C:\Users\Public\Desktop\Mozilla Firefox.lnk [C:\Program Files\Mozilla Firefox\firefox.exe.bat "http://www.bvs-ner.com/"] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk [C:\Program Files\Mozilla Firefox\firefox.exe.bat "http://www.bvs-ner.com/"] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk [C:\Program Files\Opera\launcher.exe.bat "http://www.bvs-ner.com/"] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk [C:\Program Files\Google\Chrome\Application\chrome.exe.bat "http://www.bvs-ner.com/" - (Объект запуска не найден)]- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt).
- По окончанию удаления нажмите на кнопку "Отчет"
- Сохраните лог утилиты
- Прикрепите сохраненный отчет в вашей теме.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Высылаю повторные отчеты
- Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите sitlog.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да- В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
- По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
- Прикрепите эти отчеты в вашей теме.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
SITLog.txt и SITLog_Info.txt
Эти папки удалите.04.10.2014 10:37:40 ----HD---- C:\Users\дима\AppData\Roaming\Mail.RU NewGamesT
04.10.2014 10:36:25 ----D---- C:\Users\дима\AppData\Roaming\Microsoft DB
04.10.2014 10:35:49 ----D---- C:\Users\дима\AppData\Roaming\tor
03.10.2014 22:23:11 ----D---- C:\Users\дима\AppData\Roaming\GemWare
03.10.2014 22:22:31 ----D---- C:\Users\дима\AppData\Roaming\Tor Project
03.10.2014 22:22:31 ----D---- C:\Users\дима\AppData\Roaming\Browsers
03.10.2014 22:22:15 ----D---- C:\Users\дима\AppData\Roaming\ICL
Пришлите зашифрованный doc файл и несколько картинок.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Папки удалил
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Islik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.