Зашифрованы файлы AES256 [Trojan.MSIL.ExtInstall.h, not-a-virus:AdWare.Win32.DealPly.ax ]

**Алексей Стеклов** · 17.10.2014, 10:15

Добрый день.
Картинки, музыка и документы зашифрованы. Расширение файлов AES256.
Ссылка "Онлайн консультант" с рабочего стола ведёт C:\Users\Виктор\AppData\Roaming\Mail.RU NewGamesT\tiket.exe
Файл "ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt":

Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.
Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.
Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.
TOR: https://www.torproject.org/ | Видео инструкция: http://youtu.be/43feBLwHzn0
url_1: http://y6kpyefykdvswxps.onion:4567/pay.html
url_2: http://gi3ruskskqzff2rw.onion:4567/pay.html
HashKey: a011ba29eeab728fe2300e52695de4db
ID: 19971

Зашифрованая картинка для примера http://rghost.ru/58565362 и docx http://rghost.ru/58565392
Помогите, пожалуйста расшифровать.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 17.10.2014, 10:16

Уважаемый(ая) Алексей Стеклов, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 17.10.2014, 10:57

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Виктор\appdata\local\pricemeter\pricemeterd.exe','');
 QuarantineFile('C:\Users\51FB~1\AppData\Roaming\PRICEM~1\UPDATE~1\UPDATE~1.EXE','');
 DelCLSID('{11292110-6F8D-4D56-863C-44902A1E7880}');
 DelCLSID('{00890530-6A9F-4be2-B1BB-73F01E2BB986}');
 DelBHO('{79E1CFFB-E2E0-436C-B82A-9902BBEA6391}');
 QuarantineFile('C:\Program Files (x86)\WebBars\Basement\Extension32.dll','');
 QuarantineFile('C:\Users\Виктор\AppData\Roaming\runWIN\update.exe','');
 QuarantineFile('C:\Users\Виктор\AppData\Roaming\runWIN\Update.exe','');
 QuarantineFile('C:\Users\Виктор\AppData\Roaming\eTranslator\eTranslator.exe','');
 QuarantineFile('C:\Users\Виктор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
 QuarantineFile('C:\Users\Виктор\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','');
 QuarantineFile('C:\Users\Виктор\AppData\Local\storegid\storegidup.exe','');
 QuarantineFile('C:\Users\Виктор\AppData\Local\storegid\storegid.exe','');
 QuarantineFile('C:\Users\Виктор\AppData\Local\extension\ChromeExtensionUpdater.exe','');
 QuarantineFile('C:\Users\Виктор\AppData\Local\Temp\System\explorer.exe','');
 SetServiceStart('storegidfilter', 4);
 DeleteService('storegidfilter');
 SetServiceStart('Update Service for WebBars', 4);
 DeleteService('Update Service for WebBars');
 QuarantineFile('C:\Users\Виктор\AppData\Local\storegid\nfapi.dll','');
 TerminateProcessByName('c:\users\Виктор\appdata\local\storegid\storegid.exe');
 QuarantineFile('c:\users\Виктор\appdata\local\storegid\storegid.exe','');
 TerminateProcessByName('c:\program files (x86)\webbars\basement\extensionupdaterservice.exe');
 QuarantineFile('c:\program files (x86)\webbars\basement\extensionupdaterservice.exe','');
DeleteFile('c:\program files (x86)\webbars\basement\extensionupdaterservice.exe','32');
 DeleteFile('c:\users\Виктор\appdata\local\storegid\storegid.exe','32');
DeleteFile('C:\Users\Виктор\AppData\Local\storegid\nfapi.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{11292110-6F8D-4D56-863C-44902A1E7880}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduAnTray');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{00890530-6A9F-4be2-B1BB-73F01E2BB986}');
 DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','32');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');
 DeleteFile('C:\Users\Виктор\AppData\Local\Temp\System\explorer.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','progaega');
 DeleteFile('C:\Users\Виктор\AppData\Local\Temp\_uninst_.bat','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ChromeExtensionUpdater');
 DeleteFile('C:\Users\Виктор\AppData\Local\extension\ChromeExtensionUpdater.exe','32');
 DeleteFile('C:\Users\Виктор\AppData\Local\storegid\storegid.exe','32');
 DeleteFile('C:\Users\Виктор\AppData\Local\storegid\storegidup.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','storegidUpdater');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','storegid');
 DeleteFile('C:\Users\Виктор\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
 DeleteFile('C:\Users\Виктор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
 DeleteFile('C:\Users\Виктор\AppData\Roaming\eTranslator\eTranslator.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Update');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ChromeExtensionUpdater');
 DeleteFile('C:\Users\Виктор\AppData\Roaming\runWIN\Update.exe','32');
 DeleteFile('C:\Users\Виктор\AppData\Roaming\runWIN\update.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
 DeleteFile('C:\Program Files (x86)\WebBars\Basement\Extension32.dll','32');
 DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BDShellExt.dll','32');
 DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt.dll','32');
 DeleteFile('C:\Users\51FB~1\AppData\Roaming\PRICEM~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\Tasks\PriceMeterUpdater.job','64');
 DeleteFile('C:\Windows\system32\Tasks\pricemetertask','64');
 DeleteFile('C:\Users\Виктор\appdata\local\pricemeter\pricemeterd.exe','32');
DeleteFileMask('C:\Users\Виктор\AppData\Roaming\runWIN', '*', true);
DeleteDirectory('C:\Users\Виктор\AppData\Roaming\runWIN');
DeleteFileMask('C:\Users\Виктор\AppData\Roaming\Mail.RU NewGamesT', '*', true);
DeleteDirectory('C:\Users\Виктор\AppData\Roaming\Mail.RU NewGamesT');
DeleteFileMask('C:\Program Files (x86)\WebBars', '*', true);
DeleteDirectory('C:\Program Files (x86)\WebBars');
DeleteFileMask('C:\Users\Виктор\AppData\Local\storegid', '*', true);
DeleteDirectory('C:\Users\Виктор\AppData\Local\storegid');
 BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('c:\program files (x86)\baidu\baiduan\3.0.0.3971\baiduansvc.exe');
 BC_DeleteFile('c:\program files (x86)\baidu\baiduan\3.0.0.3971\baiduantray.exe');
 BC_DeleteFile('c:\program files (x86)\common files\baidu\baiduhips\1.1.0.733\baiduhips.exe');
 BC_DeleteFile('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.579\baiduprotect.exe');
 BC_DeleteFile('c:\program files (x86)\baidu\baidusd\1.8.0.1255\baidusdsvc.exe');
 BC_DeleteFile('c:\program files (x86)\baidu\baidusd\1.8.0.1255\baidusdtray.exe');
 BC_DeleteFile('C:\Program Files (x86)\baidu\BaiduSd\1.8.0.1255\BaiduSdUProxy64.exe');
 BC_DeleteFile('c:\program files (x86)\common files\baidu\bddownload\108\bddownloader.exe');
 BC_DeleteFile('c:\program files (x86)\baidu\bindex.exe');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\ad.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDLogicUtils.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\BDKitUtils.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\BDMAVCached.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\BDMAVEng.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\bduf.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDMCommon.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDMDbSqlite.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDMDownload.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDMFrameWork.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDMNet.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDMReport.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDMSkin.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\EnhanceBoost.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\BDMAVCached.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\BDKitUtils.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\BDMAVEng.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\BDMPerfMon.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\BDUDiskGuard.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\bduf.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\TrustAndIso.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BDMAVE.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\TrustAndIso.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\7z.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\ad.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\BDKitUtils.dll');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys');
 BC_DeleteFile('C:\Windows\system32\drivers\BDDefense.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys');
 BC_DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys');
 BC_DeleteSvc('BaiduHips');
 BC_DeleteSvc('BDMRTP');
 BC_DeleteSvc('BDSGRTP');
 BC_DeleteSvc('bd0001');
 BC_DeleteSvc('bd0002');
 BC_DeleteSvc('bd0004');
 BC_DeleteSvc('BDArKit');
 BC_DeleteSvc('BDDefense');
 BC_DeleteSvc('BDMWrench_x64');
 BC_DeleteSvc('BDSafeBrowser');
 BC_DeleteSvc('BDAntiExp');
 BC_DeleteSvc('BDEnhanceBoost');
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Сделайте такой лог

**Алексей Стеклов** · 17.10.2014, 18:14

Готово

**thyrex** · 17.10.2014, 18:49

Пересоздайте ярлыки

C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\Виктор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk
C:\Users\Виктор\AppData\Roaming\Microsoft\Windows\ Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Виктор\AppData\Roaming\Microsoft\Windows\ Start Menu\Programs\Internet Explorer (64-bit).lnk
C:\Users\Виктор\AppData\Roaming\Microsoft\Windows\ Start Menu\Programs\Internet Explorer.lnk
C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk

Удалите папки

Код:

C:\Users\Виктор\AppData\Roaming\Microsoft DB
C:\Users\Виктор\AppData\Roaming\tor
C:\Users\Виктор\AppData\Roaming\Baidu
C:\ProgramData\Baidu
C:\Program Files (x86)\baidu
C:\Users\Виктор\AppData\Roaming\Browsers
C:\Users\Виктор\AppData\Roaming\GemWare
C:\Users\Виктор\AppData\Roaming\Tor Project
C:\Users\Виктор\AppData\Roaming\ICL
C:\Users\Виктор\AppData\Roaming\eTranslator
C:\Users\Виктор\AppData\Roaming\WebBars
C:\Users\Виктор\AppData\Roaming\extension

Удалите файлы

C:\Windows\system32\drivers\BDSafeBrowser.sys
C:\Windows\system32\drivers\bd0004.sys
C:\Windows\system32\bd64_x86.dll
C:\Windows\system32\bd64_x64.dll
C:\Windows\system32\drivers\BDMNetMon.sys
C:\Windows\system32\drivers\BDArKit.sys
C:\Windows\system32\drivers\bd0003.sys
C:\Windows\system32\drivers\bd0002.sys
C:\Windows\system32\drivers\bd0001.sys

Сделайте новые логи RSIT

Поместите в карантин МВАМ всё, кроме

Код:

Процессы: 1
Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, 2768, , [b44b33e1c8b42c0ad10aa8be7e8220e0]

Файлы: 183
Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, , [b44b33e1c8b42c0ad10aa8be7e8220e0], 
PUP.Hacktool, C:\Program Files (x86)\Microsoft Office\KMS\mKMSAct.exe, , [e01f45cf3d3ff541daeb434ad42c03fd],

Пробуйте http://support.kaspersky.ru/viruses/disinfection/10556

**Алексей Стеклов** · 18.10.2014, 00:40

Новые логи RSIT
Декодер http://support.kaspersky.ru/viruses/disinfection/10556 помог, расшифровал всё, кроме нескольких мелких jpg:
http://rghost.ru/58579199
http://rghost.ru/58579209
Всё необходимое восстановлено, спасибо.

**thyrex** · 18.10.2014, 12:08

Возможно из-за особенностей шифрования или еще по какой-то причине эти файлы не расшифровались

Пофиксите в HiJack

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://oreshki-news.net/?source=ic
O2 - BHO: BDHOOK - {15DEE173-1BE9-4424-81E0-58A87076E9B1} - C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\websafe\WebMonBHO.dll (file missing)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKLM\..\Run: [BaiduSdTray] "C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe"  -stmd=3
O4 - HKLM\..\Run: [BaiduAnTray] "C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe"  -stmd=3

Сделайте лог ComboFix

**Алексей Стеклов** · 18.10.2014, 13:32

Сделано

**thyrex** · 18.10.2014, 16:04

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С

Код:

KillAll::

File::
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\bd64_x64.dll
c:\windows\system32\bd64_x86.dll
c:\windows\system32\drivers\bd0004.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\drivers\bd0001.sys
c:\windows\SysWow64\drivers\bd0003.sys
c:\windows\system32\drivers\BDMWrench_x64.sys

Driver::
bd0003
BDAntiExp
BDEnhanceBoost
BDMWrench_x64
BDKVRTP
BDMNetMon
BDMRTP
BDSafeBrowser
bd0004
BDMWrench
BDArKit
BDSGRTP

Folder::
c:\program files (x86)\Common Files\Baidu
c:\programdata\Baidu

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

**Алексей Стеклов** · 18.10.2014, 22:57

Готово

**thyrex** · 18.10.2014, 23:56

c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\bd64_x64.dll
c:\windows\system32\bd64_x86.dll
c:\windows\system32\drivers\bd0004.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\drivers\bd0001.sys
c:\windows\SysWow64\drivers\bd0003.sys
c:\windows\system32\drivers\BDMWrench_x64.sys

удалите вручную

**Алексей Стеклов** · 19.10.2014, 00:27

Удалил. Спасибо огромное за помощь!

**thyrex** · 19.10.2014, 11:41

Удалите ComboFix

**CyberHelper** · 19.10.2014, 11:51

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 9
В ходе лечения обнаружены вредоносные программы:
1. c:\users\виктор\appdata\local\extension\chromeexte nsionupdater.exe - Trojan.MSIL.ExtInstall.h ( DrWEB: Trojan.MulDrop5.40267, BitDefender: Gen:Variant.Kazy.423143, AVAST4: Win32:Malware-gen )
2. c:\users\виктор\appdata\local\pricemeter\pricemete rd.exe - not-a-virus:AdWare.Win32.DealPly.ax

Зашифрованы файлы AES256 [Trojan.MSIL.ExtInstall.h, not-a-virus:AdWare.Win32.DealPly.ax ] (заявка № 168817)

Опции темы

Зашифрованы файлы AES256 [Trojan.MSIL.ExtInstall.h, not-a-virus:AdWare.Win32.DealPly.ax ]

Антивирусная помощь

Антивирусная помощь

Это понравилось:

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Итог лечения

Похожие темы

Файлы зашифрованы. Расширение AES256 [not-a-virus:AdWare.Win32.DealPly.y, Trojan-Ransom.MSIL.Lortok.p ]

Зашифрованы файлы в AES256

Все файлы зашифрованы AES256

все файлы зашифрованы вирусом AES256

Зашифрованы файлы все, AES256

Метки для этой темы

Ваши права в разделе