Показано с 1 по 7 из 7.

Расшифровка файлов после заражения AES256 (заявка № 168164)

  1. #1
    Junior Member Репутация
    Регистрация
    08.10.2014
    Сообщений
    3
    Вес репутации
    35

    Расшифровка файлов после заражения AES256

    Здравствуйте. Скачивал программу для чтения djvu файлов, после чего на компьютере закодировались все файлы. На рабочем столе появился ярлык под названием "Онлайн консультант". При попытке запуска файлов происходил запуск программы, где предлагалось перевести деньги. В каждой папке появился текстовый файл (ниже цитата)
    "Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.
    Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл."
    Программа была удалена, компьютер полностью проверен на вирусы при помощи антивируса avast, найденные вирусные угрозы ликвидированы. Однако файлы остались по - прежнему зашифрованными. Очень прошу о помощи, т.к. очень могут быть утеряны очень важные файлы, существующие в единичном экземпляре.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) AutumnRomance, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
     ExecuteAVUpdate;
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     QuarantineFile('C:\Users\КПК\AppData\Roaming\Mail.RU NewGamesT\*','');     
     QuarantineFile('C:\Users\КПК\AppData\Roaming\runWIN\*','');     
     QuarantineFile('C:\Users\КПК\AppData\Roaming\runWIN\Update.exe','');
     QuarantineFile('C:\Users\КПК\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
     QuarantineFile('C:\Users\КПК\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','');
     QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','');
     DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','32');
     DeleteFile('C:\Users\КПК\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32');
     DeleteFile('C:\Users\КПК\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
     DeleteFile('C:\Users\КПК\AppData\Roaming\runWIN\update.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');
     DeleteFileMask('C:\Users\КПК\AppData\Roaming\runWIN', '*', true, ' ');
     DeleteFileMask('C:\Users\КПК\AppData\Roaming\Mail.RU NewGamesT', '*', true, ' ');
     DeleteDirectory('C:\Users\КПК\AppData\Roaming\runWIN');     
     DeleteDirectory('C:\Users\КПК\AppData\Roaming\Mail.RU NewGamesT');     
    BC_ImportAll;
    ExecuteSysClean;         
    BC_Activate;    
    RebootWindows(false);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

    Код:
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    O4 - HKCU\..\Run: [RuningWIN32] C:\Users\КПК\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe
    O4 - HKCU\..\Run: [NewLoadSystemWIN32] C:\Users\КПК\AppData\Roaming\runWIN\update.exe
    O4 - HKCU\..\Run: [Encrypt] C:\Users\КПК\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    1. Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите FixerBro
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. В главном окне программы нажмите на кнопку "Проверить"
    5. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
    6. По окончанию сканирования нажмите на кнопку "Отчет".
    7. Сохраните лог утилиты
    8. Прикрепите сохраненный отчет в вашей теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. #4
    Junior Member Репутация
    Регистрация
    08.10.2014
    Сообщений
    3
    Вес репутации
    35
    Высылаю вам файлы, о которых вы упомянули в своем сообщении, кроме карантина. После выполнения скрипта открыл окно "Просмотр карантина", однако там было пусто.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    1. Запустите повторно FixerBro by glax24.
      Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    2. Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив следующих строк и нажмите на кнопку Исправить. Дождитесь окончания удаления.

      Код:
      C:\Users\КПК\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://reque.ru" - (Объект запуска не найден)]
      C:\Users\КПК\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://reque.ru" - (Объект запуска не найден)]
      C:\Users\КПК\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://reque.ru" - (Объект запуска не найден)]
      C:\Users\КПК\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat "http://reque.ru"]
      C:\Users\КПК\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://reque.ru" - (Объект запуска не найден)]
      C:\Users\КПК\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk [C:\Program Files (x86)\Mozilla Firefox\firefox.exe.bat "http://reque.ru"]
      C:\Users\Public\Desktop\Mozilla Firefox.lnk [C:\Program Files (x86)\Mozilla Firefox\firefox.exe.bat "http://reque.ru"]
      C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk [C:\Program Files (x86)\Mozilla Firefox\firefox.exe.bat "http://reque.ru"]
      C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat "http://reque.ru"]
    3. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt).
    4. По окончанию удаления нажмите на кнопку "Отчет"
    5. Сохраните лог утилиты
    6. Прикрепите сохраненный отчет в вашей теме.


    - - - - -Добавлено - - - - -

    +
    1. Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите sitlog.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
    5. По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
    6. Прикрепите эти отчеты в вашей теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  7. #6
    Junior Member Репутация
    Регистрация
    08.10.2014
    Сообщений
    3
    Вес репутации
    35

    Запрошенные файлы.

    Спасибо за помощь! Высылаю запрошенные вами файлы.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://reque.ru
    Удалите эти папки:

    08.10.2014 10:54:27 ----D---- C:\Users\КПК\AppData\Roaming\Microsoft DB
    07.10.2014 22:10:41 ----D---- C:\Users\КПК\AppData\Roaming\GemWare
    07.10.2014 22:08:45 ----D---- C:\Users\КПК\AppData\Roaming\ICL
    Пробуйте http://support.kaspersky.ru/viruses/disinfection/10556
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

Похожие темы

  1. Расшифровка фалов после заражения AES-256
    От Vasiahl в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 28.10.2014, 11:26
  2. И снова расшифровка файлов после [email protected]
    От Dmitry_baza3800 в разделе Помогите!
    Ответов: 12
    Последнее сообщение: 24.07.2014, 21:25
  3. Ответов: 22
    Последнее сообщение: 12.06.2014, 01:26
  4. Расшифровка файлов после вируса
    От sd2211 в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 15.11.2013, 19:32
  5. расшифровка файлов после lockdir
    От ahau в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 13.07.2013, 15:30

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01196 seconds with 20 queries