AES-256

**valeryip** · 13.11.2014, 11:46

Добрый день!После подключения чужого внешнего диска половина файлов оказалась зашифрована.И появилось сообщение:
Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.
Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.

Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.
TOR: https://www.torproject.org/ | Видео инструкция: http://youtu.be/43feBLwHzn0
url_1: http://y6kpyefykdvswxps.onion:4567/pay.html
url_2: http://gi3ruskskqzff2rw.onion:4567/pay.html
HashKey: 7dd1b928539b410219605a0e153e9fa8
ID: 19539
Помогите пожалуйста расшифровать!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 13.11.2014, 11:47

Уважаемый(ая) valeryip, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**valeryip** · 13.11.2014, 12:40

Добавляю логи и зашифрованный файл-фото,был jpg.У ABP есть еще virusinfo_autoguarantine, zip

**thyrex** · 13.11.2014, 18:06

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\40E4~1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('c:\users\Валерий\appdata\roaming\skypemoticons\se.exe','');
 QuarantineFile('c:\users\Валерий\appdata\local\lite file downloader\litefile.bin','');
 DeleteFile('C:\Users\40E4~1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\system32\Tasks\MetaCrawler','64');
 DeleteFile('C:\Windows\Tasks\MetaCrawler.job','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите в HiJack

Код:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.fastosearch.info/?pid=2582&r=2014/06/17&hid=1875489860553592077&lg=EN&cc=UA&unqvl=55
O2 - BHO: MiniMUmPRice - {5f36dd3a-24bb-49f2-82ed-cfc7aba546e6} - (no file)

Удалите папки

C:\Users\Валерий\AppData\Roaming\Mail.RU NewGamesT
C:\Users\Валерий\AppData\Roaming\tor
C:\Users\Валерий\AppData\Roaming\Microsoft DB
C:\Users\Валерий\AppData\Roaming\GemWare
C:\Users\Валерий\AppData\Roaming\Tor Project
C:\Users\Валерий\AppData\Roaming\ICL
C:\ProgramData\Search Protection
C:\Users\Валерий\AppData\Roaming\30705
C:\Users\Валерий\AppData\Roaming\Baidu
C:\Program Files (x86)\Common Files\Baidu
C:\ProgramData\Baidu
C:\Program Files (x86)\Baidu
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\test
C:\Program Files (x86)\test
C:\Users\Валерий\AppData\Roaming\newnext.me
C:\Users\Валерий\Documents\Optimizer Pro
C:\ProgramData\IePluginServices
C:\ProgramData\DIgiCouponn
C:\ProgramData\WindowsMangerProtect
C:\Users\Валерий\AppData\Roaming\sweet-page

Пересоздайте ярлыки

C:\Users\Валерий\AppData\Roaming\Microsoft\Windows \Start Menu\Programs\Internet Explorer.lnk
C:\Users\Валерий\AppData\Roaming\Microsoft\Windows \Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

**valeryip** · 15.11.2014, 19:10

Добрый вечер!Получил все логи.Отправляю.Карантин после AVZ пустой.

**mike 1** · 18.11.2014, 00:59

В MBAM удалите все, кроме:

Код:

Files: 132
Spyware.Banker, C:\Total\Soft\RnQ\HistoryReader.exe, , [3faa6fcb2e4e2f07c34c5116ff0117e9], 
PUP.Riskware.Patcher, C:\Program Files (x86)\Rovio Entertainment Ltd\Angry Birds Rio\data\audio\angry.birds.all-patch.offline.v1.3.exe, , [4d9c9f9ba4d81f179af8f822da27ec14], 
Hacktool.Patcher, C:\Program Files (x86)\Wondershare\MobileGo for Android\wondershare.mobilego.for.android.4.2.0.249-patch.exe, , [f4f561d98fed2610791d01c012f2fb05], 
PUP.Riskware.Patcher, C:\Program Files (x86)\Wondershare\MobileGo for Android\wondershare.mobilego.for.android.4.4.0-MPT.exe, , [ce1be65486f62f07e48c2cf9db26e917], 
Trojan.AutoKMS, C:\Windows\AutoKMS\AutoKMS.exe, , [9059e852f8840432e11675713bc5a45c], 
PUP.Riskware.Patcher, D:\$RECYCLE.BIN\S-1-5-21-2345392857-1685514334-1693334963-1000\$RSIMH1I.exe, , [fced2a108cf079bda8c8ae7703fe7d83], 
Malware.Packer.Gen, D:\a   ?????? ??????????\PrytkovSetup.exe, , [bd2c0931fb810f27bbd142ee5aab6898], 
PUP.RiskwareTool.CK, D:\a   ?????? ??????????\ WINDOWS\SM.2.01.00030.rar, , [8168fd3d85f7ea4cc355615923dd2dd3], 
PUP.Hacktool, D:\a   ?????? ??????????\ WINDOWS\office2010_x64_15.03.2013.rar\Activation\Activation\mini-KMS_Activator_v1.072_FIXED\mini-KMS Activator EN\mKMSAct.exe, , [b83160dadca0092d9be460323ac61ee2], 
PUP.Hacktool, D:\a   ?????? ??????????\ WINDOWS\office2010_x64_15.03.2013.rar\Activation\Activation\mini-KMS_Activator_v1.072_FIXED\mini-KMS Activator RU\mKMSAct.exe, , [f8f13802d9a36bcb85faf39f9f61728e], 
Hacktool.Agent, D:\a   ?????? ??????????\ WINDOWS\SYS\may.rar, , [c22783b79fdde84eb45ca9baf40df50b], 
Hacktool.Agent, D:\a   ?????? ??????????\ WINDOWS\SYS\Windows_Loader_2.1.7_by_Daz\Windows Loader 2.1.7 by Daz\Windows Loader.exe, , [20c93a004b3142f4e0302c37af52e51b], 
PUP.SmsPay, D:\a   ?????? ??????????\INTERNET\SkyMonk_2__2012_RUS_.zip.exe, , [f8f168d259231521d4d88a812cd424dc], 
Hacktool.Patcher, D:\a   ?????? ??????????\???????˜????\MobileGo.4.2.0.249.rar, , [8c5d50ea6a12f93da4f2fdc40aface32], 
Hacktool.Patcher, D:\a   ?????? ??????????\???????˜????\iPhone\Star A3\SOFT\MobileGo.4.2.0.249.rar, , [8267b882245852e412849e23877dbb45], 
PUP.Optional.RegCleanerPro, D:\a   ?????? ??????????\???????˜????\iPhone\Star A3\SOFT\rcpsetup_dcnew_util_728.exe, , [94555ae0a5d72412d160bb69ef12ba46], 
Hacktool.Patcher, D:\a   ?????? ??????????\???????˜????\iPhone\Star A3\SOFT\MobileGo.4.2.0.249\wondershare_mobilego_for_android_4_2_0_249-patch\wondershare.mobilego.for.android.4.2.0.249-patch.exe, , [87623bfff983360002948b3617ed0000], 
PUP.Riskware.Patcher, D:\a   ?????? ??????????\???????˜????\MobileGo.5.3.2.292\Wondershare.MobileGo.for.Android.4.4.0.Patch-MPT.zip, , [dd0c52e8e69686b0066ad84d6f926e92], 
CrackTool.Agent, D:\a   ?????? ??????????\???????˜????\MobileGo.5.3.2.292\Fix\patch.exe, , [658461d925576fc7937835044ab754ac], 
PUP.Riskware.Patcher, D:\a   ?????? ??????????\???????˜????\MobileGo.5.3.2.292\Wondershare.MobileGo.for.Android.4.4.0.Patch-MPT\wondershare.mobilego.for.android.4.4.0-MPT.exe, , [01e833072854a88e066a41e4b150e51b], 
PUP.Optional.InstalleRex, D:\a   ?????? ??????????\BoSunnop\RK3066- RK3188-USB-Driver.rar.exe, , [b1383ffbd6a682b43f814957a65bb64a], 
PUP.Hacktool.Patcher, D:\a   ?????? ??????????\Monitor\PassMark_MonitorTest_3.1\PassMark.MonitorTest.3.1.patch-SND\passmark.monitortest.3.1-patch.exe, , [47a2f743007cd660349e15f06f91d32d], 
PUP.Adware.MediaGet, D:\a   ?????? ??????????\NVIDIA\rus_id2553849ids2s.exe, , [a6431e1c235922147b9a769217e94cb4], 
PUP.Riskware.Patcher, D:\a   ?????? ??????????\PLAYER\J.River.Media.Center.18.0.126.Final.zip, , [2fbae55564188aacb4deac6ea25f12ee], 
Trojan.Agent.CK, D:\a   ?????? ??????????\Registry\SuperUtilities\SUPERAntiSpyware.rar, , [8b5e1c1e097325118699ab8dc73b0000], 
PUP.Keygen.Intro, D:\a   ?????? ??????????\Registry\SuperUtilities\SUPERAntiSpyware_Professional_5.0.1136.rar, , [f6f32812ff7d102606aea6462ed6b44c], 
PUP.Riskware.Patcher, D:\a   ?????? ??????????\Registry\Tune-Up Utilites_2010\TuneUpUtilities2013_ru-RU.rar, , [f4f59aa03c404aecddb5e83259a88a76], 
TheftMarker.Crude, D:\a   ?????? ??????????\V 350\VueScan\CRD\crd.exe, , [b435b585e3992b0b32def63d2bd7ee12], 
PUP.Hacktool.Patcher, D:\a   ?????? ??????????\???µN??µ??????N???????\Babylon_Pro_v8.0.6__r5_.rar, , [8e5b7ac04339ea4cc60cd62fcb35ec14], 
PUP.Keygen.Intro, D:\a   ?????? ??????????\??N?????N??µN?\iP4500\SOFT\??N???N?N?N?\Printer__s_Apprentice_8.1.0005\CORE10k.EXE, , [e504b486007c6ec86c4847a51be922de], 
RiskWare.Tool.CK, D:\a   ?????? ??????????\??N?????N??µN?\iP4500\SOFT\??N???N?N?N?\Printer__s_Apprentice_8.1.0005\keygen.exe, , [6e7b07332953d95dc60a5afef70ee020], 
Trojan.Agent.CK, D:\a   ?????? ??????????\?¤??N???N?N?N?????N?\Obuchenie\PhotoShop\?¤??N???N????? CS2 RUSN??°????N?N???N??µ?»N?\keygen.exe, , [d019e5554f2d87af795869cec14129d7], 
PUP.Keygen.Intro, D:\a   ?????? ??????????\DVD\DVDInfoPro.v6.135\DVDInfoPro.v6.135\Keymaker-CORE\CORE10k.EXE, , [b138b08a3a42be78377de3090df7847c], 
RiskWare.Tool.HCK, D:\a   ?????? ??????????\DVD\DVDInfoPro.v6.135\DVDInfoPro.v6.135\Keymaker-CORE\cr-dvd61.exe, , [b732e357e09cbc7a78f484c5d2300ef2], 
PUP.Hacktool.Patcher, D:\a   ?????? ??????????\FLASHkA\recovermyfiles crk\RecoverMyFiles.crk\crk\Ptch3.exe, , [8564b2881567cd69be14788d9d63ee12], 
PUP.Keygen.Intro, D:\a   ?????? ??????????\????N???????N?N?N?\SUPERAntiSpyware_Professional_5.5.1006.rar, , [8d5cf644a2da14228232cc20659f11ef], 
PUP.Keygen.Intro, D:\a   ?????? ??????????\????N???????N?N?N?\superantispyware_pro_5.5.1016_www.CWER.ws_.rar, , [0fda47f399e371c5674dd8142dd7a858], 
Trojan.Agent.CK, D:\a   ?????? ??????????\????N???????N?N?N?\ess nt32\????N?????????N???_?»??N??µ???·????_NOD.exe, , [d4157dbddaa226103c1ccd8c9d6804fc], 
Trojan.Agent.CK, D:\a   ?????? ??????????\????N???????N?N?N?\ess nt32\TNod-1.4.2.0-beta4-setup\TNod-1.4.2.0-beta4-setup.exe, , [32b71822423ada5cbb9d90c91bea2cd4], 
PUP.RiskwareTool.CK, D:\a   ?????? ??????????\??N?N??????°N???N?\Acrobat\Acrobat.XI.Pro\Adobe.Acrobat.Pro.v11.0.6.Multilingual\Crack\Activation_Keygen.exe, , [dc0db1891f5dcc6acbd55b6fbb4548b8], 
PUP.Optional.InstallMonstr.A, D:\a   ?????? ??????????\??N?N??????°N???N?\Total comander\Total-Commander-8 (2).exe, , [e6032e0c15677db92e24502ad130768a], 
PUP.Riskware.Patcher, D:\Games\AngryBirdsRio_2.0.0\angry.birds.all-patch.offline.v1.3.exe, , [5d8c1525c2bac76f3260c852aa57eb15], 
Spyware.Banker, D:\Total\Soft\RnQ\HistoryReader.exe, , [2abfa9913646d75f52bd620525db5aa6], 
PUP.Optional.OpenCandy, D:\????N?\??N???????\DAEMON_Tools_Lite_4.41.3_Setup.exe, , [8a5fb486b3c90c2aab61e28c18edf10f],

**valeryip** · 19.11.2014, 18:23

Добрый день!Удалил все рекомендованное.Что дальше?

**thyrex** · 19.11.2014, 18:40

http://support.kaspersky.ru/viruses/disinfection/10556 пробуйте

**valeryip** · 20.11.2014, 18:41

Добрый вечер!У меня все расшифровалось!(за исключеним нескольких файлов-это мелочи).Virusinfo рулит!
Огромное спасибо!!!

**thyrex** · 20.11.2014, 21:41

Удалите МВАМ

AES-256 (заявка № 170774)

Опции темы

AES-256

Log

Антивирусная помощь

Это понравилось:

Новые LOG

Это понравилось:

Антивирусная помощь

Это понравилось:

Антивирусная помощь

Метки для этой темы

Ваши права в разделе