Компьютер заражен вирусом AES256

[glib]

Здравствуйте, 

Суть проблемы следующая:

Все файлы на компьютере зашифрованы и поменяли свое расширение на AES256.

Также присутствует txt файл со следующим содержимым:

 

"Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.

Для этого откройте ярлык 'Ваш консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.

 

Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.

TOR: https://www.torproject.org/ | Видео инструкция:

url_1: http://y6kpyefykdvswxps.onion:4567/pay.html

url_2: http://gi3ruskskqzff2rw.onion:4567/pay.html

HashKey: 3d1b7b9f793ac0bc71ae134f21f8146d

ID: 1659"

 

Последовал Вашим инструкциям. Пожалуйста просмотрите логи в аттаче. Очень надеюсь на  Вашу помощь.

Заранее благодарен,

С уважением,

Глеб

CollectionLog-2014.10.02-01.21.zip

[mike 1]

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

  then

   begin

    SearchRootkit(true, true);

    SetAVZGuardStatus(true);

   end;

 ClearQuarantine;

 SetServiceStart('{5eeb83d0-96ea-4249-942c-beead6847053}Gw64', 4);

 StopService('{5eeb83d0-96ea-4249-942c-beead6847053}Gw64');

 QuarantineFile('C:\Users\Glib\AppData\Roaming\runWIN\update.exe','');

 QuarantineFile('C:\Users\Glib\AppData\Roaming\ZZima\zzima_loader\nloader.exe','');

 QuarantineFile('C:\Users\Glib\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');

 QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');

 QuarantineFile('C:\Windows\system32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys','');

 DeleteFile('C:\Windows\system32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys','32');

 DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');

 DeleteFile('C:\Users\Glib\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');

 DeleteFile('C:\Users\Glib\AppData\Roaming\ZZima\zzima_loader\nloader.exe','32');

 DeleteFile('C:\Users\Glib\AppData\Roaming\runWIN\update.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewRunWIN');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','qloader');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');

 DeleteService('{5eeb83d0-96ea-4249-942c-beead6847053}Gw64');  

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

 ExecuteRepair(3);

RebootWindows(false);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://1homepage.biz/?company=5

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://1kanal.org/?src=hp1

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.wisesearch.info/?

O2 - BHO: @Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)

O4 - HKCU\..\Run: [qloader] C:\Users\Glib\AppData\Roaming\ZZima\zzima_loader\nloader.exe -a

O4 - HKCU\..\Run: [NewLoadSystemWIN32] C:\Users\Glib\AppData\Roaming\runWIN\update.exe

O4 - HKCU\..\Run: [NewRunWIN] C:\Users\Glib\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe

O4 - HKCU\..\Run: [Encrypt] C:\Users\Glib\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe

 

 

Сделайте новые логи

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  

• Прикрепите отчет к своему следующему сообщению.
  

 

Подробнее читайте в этом руководстве.

 

 

[Mark D. Pearlstone]

Сообщение от модератора Mark D. Pearlstone

Одно из сообщений перенесено в новую тему http://forum.kasperskyclub.ru/index.php?showtopic=44193

[glib]

Здравствуйте!

Благодарю за столь скорый ответ.

Прикрепляю логи проделанных шагов.

С ув. Глеб.

 

 

AdwCleanerR0.txt

hijackthis.log

[Roman_Five]

кто просил прикладывать лог hijackthis.log ?
нужны логи в архиве от автологгера.

удалите найденное в AdwCleaner (кроме Mail.ru, если нужен)
новый лог после перезагрузки прикрепите.

[glib]

Здравстуйте,

На счет hijackthis.log ошибся, извините. Прикрепил лог после удаления.

 

AdwCleanerS0.txt

[Roman_Five]

 

 

На счет hijackthis.log ошибся

хотелось бы, всё таки, увидеть лог автологгера... 

[glib]

Прикрепил логи автологгера

CollectionLog-2014.10.03-00.11.zip

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

QuarantineFile('C:\Program Files (x86)\MyPC Backup\*',' ');

QuarantineFile('C:\Program Files\AESCrypt\*',' ');

QuarantineFile('C:\Users\Glib\AppData\Roaming\tor\*',' ');

QuarantineFile('C:\Users\Glib\AppData\Roaming\Microsoft DB\*',' ');

QuarantineFile('C:\Users\Glib\AppData\Roaming\GemWare\*',' ');

QuarantineFile('C:\Users\Glib\AppData\Roaming\Tor Project\*',' ');

QuarantineFile('C:\Users\Glib\AppData\Roaming\ICL\*',' ');

QuarantineFile('C:\awh9378.tmp',' ');

QuarantineFile('C:\awhA0B1.tmp',' ');

QuarantineFile('C:\Windows\system32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys',' ');

QuarantineFile('C:\awhC15B.tmp',' ');

QuarantineFile('C:\ProgramData\{3C5CBD7B-3D1D-411E-96C2-513FFCA84D2D}\*',' ');

QuarantineFile('C:\ProgramData\{1BA5A872-FC5B-4433-93E9-DD0C3EAE9F66}\*',' ');

QuarantineFile('C:\Windows\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys',' ');

QuarantineFile('C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys',' ');

QuarantineFile('C:\Users\Glib\AppData\Roaming\cload2\*',' ');

 DeleteFileMask('C:\Program Files (x86)\MyPC Backup\ ','* ',true ,' ');

 DeleteDirectory('C:\Program Files (x86)\MyPC Backup ',' ');

 DeleteFileMask(' C:\Users\Glib\AppData\Roaming\tor\ ','* ',true ,' ');

 DeleteDirectory(' C:\Users\Glib\AppData\Roaming\tor ',' ');

 DeleteFileMask(' C:\Users\Glib\AppData\Roaming\Microsoft DB\ ','* ',true ,' ');

 DeleteDirectory(' C:\Users\Glib\AppData\Roaming\Microsoft DB ',' ');

 DeleteFileMask(' C:\Users\Glib\AppData\Roaming\GemWare\ ',' *',true ,' ');

 DeleteDirectory(' C:\Users\Glib\AppData\Roaming\GemWare ',' ');

 DeleteFileMask(' C:\Users\Glib\AppData\Roaming\Tor Project\ ','* ',true ,' ');

 DeleteDirectory(' C:\Users\Glib\AppData\Roaming\Tor Project ',' ');

 DeleteFileMask('C:\Users\Glib\AppData\Roaming\ICL\ ','* ',true ,' ');

 DeleteDirectory('C:\Users\Glib\AppData\Roaming\ICL',' ');

DeleteFile('C:\awh9378.tmp ');

DeleteFile('C:\awhA0B1.tmp ');

DeleteFile('C:\Windows\system32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys ');

DeleteFile('C:\awhC15B.tmp ');

DeleteFile('C:\Windows\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys ');

DeleteFile('C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys ');

 ClearQuarantine;

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

begin

CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');

end.

Отправьте на проверку файл  Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте новые логи по правилам.

+

лог Minitoolbox http://virusinfo.info/showthread.php?t=122524

[glib]

Спасибо,

Quarantine.zip отправил на проверку.

Minitoolbox логи прикрепил

Result.txt

[Roman_Five]

Сделайте новые логи по правилам.

при активном подключении к internet откройте командную строку (WIN + R ----> cmd) и, кликнув на окно правой кнопкой, - вставьте следующий текст:

ping yandex.ru
ping 213.180.193.11
ping www.kaspersky.com
ping 103.5.149.37
ping www.kaspersky.ru
ping 103.5.149.28
ping odnoklassniki.ru
ping 217.20.147.94
tracert www.kaspersky.com
tracert 103.5.149.37

дождитесь завершения проверок.

выделите результат с самого начала (правый клик - пометить) и сохраните в буфер обмена (ентер).

создайте текстовый документ, вставьте результат и прикрепите его сюда.

[glib]

Здравствуйте,

Прикрепил результаты ping/tracert

Ping_traces.txt

[Roman_Five]

что-то странное у Вас с доступом...

 

в браузере можно зайти на сайт?

www.kaspersky.com

и не забываем про новые логи.

[glib]

Из браузера сайт доступен

 

CollectionLog-2014.10.03-23.35.zip

[mike 1]

В этих папках какие нибудь файлы с расширением exe есть?

2014-09-29 08:37:32 ----D---- C:\Users\Glib\AppData\Roaming\tor
2014-09-29 08:37:29 ----D---- C:\Users\Glib\AppData\Roaming\Microsoft DB
2014-09-28 19:40:38 ----D---- C:\Users\Glib\AppData\Roaming\GemWare
2014-09-28 19:40:19 ----D---- C:\Users\Glib\AppData\Roaming\Tor Project
2014-09-28 19:40:10 ----D---- C:\Users\Glib\AppData\Roaming\ICL

•  

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R1].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве