AES256

[alexey_sat]

Поймал такую, же фигню

Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.

Для этого откройте ярлык 'Ваш консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.

 

Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.

TOR: https://www.torproject.org/ | Видео инструкция:

url_1: http://y6kpyefykdvswxps.onion:4567/pay.html

url_2: http://gi3ruskskqzff2rw.onion:4567/pay.html

HashKey: 05e6a1b7abb5dd353cf5d0ec80664187

ID: 2336

Сообщение от модератора Mark D. Pearlstone

Перенесено из темы

[Mark D. Pearlstone]

Порядок оформления запроса о помощи http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[alexey_sat]

Закрыты файлы mp3, doc, docx, bmp, jpg, pdf и т.д.

Скоро выложу лог Мбам

[thyrex]

В правилах нет лога МВАМ

[alexey_sat]

В правилах нет лога МВАМ

В правилах нет лога МВАМ

В этой теме http://forum.kasperskyclub.ru/index.php?showtopic=44148 выкладывали нужные логи, походу не помогли, и предложили выложить логи МБАМ, что я и хочу сделать как только пройдёт проверка

[Mark D. Pearlstone]

@alexey_sat, нужно выполнять то, что просят вас, а не других. Если потребуется, то у вас попросят другие логи.

[alexey_sat]

@alexey_sat, нужно выполнять то, что просят вас, а не других. Если потребуется, то у вас попросят другие логи.

Хорошо, извините сделаем как положено)

Лог

CollectionLog-2014.09.30-22.10.zip

[mike 1]

Здравствуйте! Baidu Antivirus сами себе устанавливали? 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Program Files\suptab\dpinterface32.dll','');
 QuarantineFile('C:\Program Files\suptab\search~1.dll','');
 QuarantineFile('C:\Program Files\suptab\search~2.dll','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\newSI_23\s_inst.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\newnext.me\nengine.dll','');
 QuarantineFile('C:\opera.bat','');
 QuarantineFile('C:\Program Files\Internet Explorer\IEXPLORE.EXE.bat','');
 QuarantineFile('C:\IEXPLORE.bat','');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Yandex\browser.bat','');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Microsoft\Windows\system.vbs','');
 QuarantineFile('C:\WINDOWS\system32\drivers\nethfdrv.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\{f2dee4ac-05d0-4e54-80bc-2dc0ba61a2c7}Gt.sys','');
 QuarantineFile('C:\Documents and Settings\Application Data\JDMAKDH.exe','');
 QuarantineFile('C:\Documents and Settings\Application Data\FF.exe','');     
 DeleteFile('C:\WINDOWS\system32\drivers\{f2dee4ac-05d0-4e54-80bc-2dc0ba61a2c7}Gt.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\nethfdrv.sys','32');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Microsoft\Windows\system.vbs','32');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Yandex\browser.bat','32');
 DeleteFile('C:\IEXPLORE.bat','32');
 DeleteFile('C:\Program Files\Internet Explorer\IEXPLORE.EXE.bat','32');
 DeleteFile('C:\opera.bat','32');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\newnext.me\nengine.dll','32');
 DeleteFile('C:\WINDOWS\Tasks\06d755c8-0b5a-48f7-b3de-3732dd5ad90a-11.job','32');
 DeleteFile('C:\WINDOWS\Tasks\06d755c8-0b5a-48f7-b3de-3732dd5ad90a-3.job','32');
 DeleteFile('C:\WINDOWS\Tasks\FF.job','32');
 DeleteFile('C:\WINDOWS\Tasks\JDMAKDH.job','32');
 DeleteFile('C:\WINDOWS\Tasks\newSI_23.job','32');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\newSI_23\s_inst.exe','32');
 DeleteFile('C:\Program Files\suptab\search~2.dll','32');
 DeleteFile('C:\Program Files\suptab\search~1.dll','32');
 DeleteFile('C:\Program Files\suptab\dpinterface32.dll','32');
 DeleteFile('C:\Documents and Settings\Application Data\FF.exe','32');
 DeleteFile('C:\Documents and Settings\Application Data\JDMAKDH.exe','32');     
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NextLive');
 DeleteService('nethfdrv');
 DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\newSI_23', '*', true, ' ');
 DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\newnext.me', '*', true, ' ');
 DeleteDirectory('C:\Documents and Settings\Администратор\Application Data\newSI_23');     
 DeleteDirectory('C:\Documents and Settings\Администратор\Application Data\newnext.me');     
ExecuteSysClean;
BC_Activate;
 RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1410199555&from=amt&uid=HitachiXHDS721612PLA380_PVF004Z41W92TN1W92TNX
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=27a50d44a7b0f107e1a0f19cd2f89895&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dts.search.ask.com/sidebar.html?src=ssb&gct=ds&appid=288&systemid=448
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=27a50d44a7b0f107e1a0f19cd2f89895&text={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1410199555&from=amt&uid=HitachiXHDS721612PLA380_PVF004Z41W92TN1W92TNX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1410199555&from=amt&uid=HitachiXHDS721612PLA380_PVF004Z41W92TN1W92TNX&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1410199555&from=amt&uid=HitachiXHDS721612PLA380_PVF004Z41W92TN1W92TNX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1410199555&from=amt&uid=HitachiXHDS721612PLA380_PVF004Z41W92TN1W92TNX
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://dts.search.ask.com/sidebar.html?src=ssb&gct=ds&appid=288&systemid=448
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://dts.search.ask.com/sidebar.html?src=ssb&gct=ds&appid=288&systemid=448
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.istartsurf.com/web/?type=ds&ts=1410199555&from=amt&uid=HitachiXHDS721612PLA380_PVF004Z41W92TN1W92TNX&q={searchTerms}
O2 - BHO: (no name) - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

• Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе

• Распакуйте архив с утилитой в отдельную папку

• Запустите FixerBro

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В главном окне программы нажмите на кнопку "Проверить"

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)

• По окончанию сканирования нажмите на кнопку "Отчет".

• Сохраните лог утилиты

• Прикрепите сохраненный отчет в вашей теме.

 

[alexey_sat]

Отчёты

2 раза уже отправил, все равно мне кажется что ошибка

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ru http://www.viruslist.ru"

AdwCleanerR0.txt

FixerBro_20140930.txt

[mike 1]

 

 

Baidu Antivirus сами себе устанавливали?

???

[alexey_sat]

 

 

 

Baidu Antivirus сами себе устанавливали?

?

 

Даже не скажу, может жена чего наклацала, незнаю

[mike 1]

У меня такое ощущение что вы первый скрипт AVZ вообще не выполняли, а выполнили вместо него сразу второй скрипт. Если это так, то нужно было сначала выполнить 1 скрипт, а потом 2. 

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DelBHO('{84C9B457-C48F-46CC-90C0-5A310C64108A}');
 SetServiceStart('BDEnhanceBoost', 4);
 DeleteService('BDEnhanceBoost');
 SetServiceStart('bd0003', 4);
 DeleteService('bd0003');
 QuarantineFile('C:\Program Files\Аудио и видео скачивание\IE\x86\Downloader.dll','');
 DeleteFile('C:\Program Files\Аудио и видео скачивание\IE\x86\Downloader.dll','32');
 DeleteFile('C:\WINDOWS\system32\drivers\BDEnhanceBoost.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0003.sys','32');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('bd0003');
 BC_DeleteSvc('BDEnhanceBoost');
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Удалите в AdwCleaner всё, кроме  имеющего отношение к Mail.Ru

 

 

Сделайте новые логи

[alexey_sat]

Логи

CollectionLog-2014.10.01-00.08.zip

AdwCleanerR2.txt

FixerBro_20141001.txt

[Roman_Five]

запустите ещё раз  FixerBro by glax 24 и после проверки нажмите исправить.

новый лог приложите.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 SetServiceStart('BDKVRTP', 4);
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\newSI_23\s_inst.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\JDMAKDH.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\FF.exe','');
 QuarantineFile('C:\Documents and Settings\Application','');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Amigo\Application\vk.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Amigo\Application\ok.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Amigo\Application\amigo.exe','');
 QuarantineFile('C:\opera.bat','');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Yandex\browser.bat','');
 QuarantineFile('C:\IEXPLORE.bat','');
 QuarantineFile('C:\Program Files\Internet Explorer\IEXPLORE.EXE.bat','');
 DeleteFile('C:\Program Files\Baidu\BaiduSd\1.8.0.1255\baidusdSvc.exe','32');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Yandex\browser.bat','32');
 DeleteFile('C:\IEXPLORE.bat','32');
 DeleteFile('C:\Program Files\Internet Explorer\IEXPLORE.EXE.bat','32');
 DeleteFile('C:\opera.bat','32');
 DeleteFile('C:\WINDOWS\Tasks\FF.job','32');
 DeleteFile('C:\WINDOWS\Tasks\JDMAKDH.job','32');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\JDMAKDH.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\newSI_23.job','32');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\newSI_23\s_inst.exe','32');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\FF.exe','32');
 DeleteService('BDKVRTP');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл  Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://philka.ru

 

После проведённого лечения рекомендуется:

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Проверьте, что в этих папках:

2014-09-29 15:34:39 ----HD---- C:\Documents and Settings\Администратор\Application Data\Mail.RU NewGamesT
2014-09-29 15:33:01 ----D---- C:\Documents and Settings\Администратор\Application Data\tor
2014-09-29 15:32:54 ----D---- C:\Documents and Settings\Администратор\Application Data\Microsoft DB
2014-09-28 21:51:00 ----D---- C:\Documents and Settings\Администратор\Application Data\GemWare
2014-09-28 21:49:34 ----D---- C:\Documents and Settings\Администратор\Application Data\Tor Project
2014-09-28 21:48:47 ----D---- C:\Documents and Settings\Администратор\Application Data\ICL

если ничего Вашего - удаляйте.

 

Сделайте новые логи по правилам.

+

лог проверки MBAM (у Вас установлен)