Перейти к содержанию

Компьютер заражен вирусом AES256


Рекомендуемые сообщения

Здравствуйте, 

Суть проблемы следующая:

Все файлы на компьютере зашифрованы и поменяли свое расширение на AES256.

Также присутствует txt файл со следующим содержимым:

 

"Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.

Для этого откройте ярлык 'Ваш консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.
 
Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.
TOR: https://www.torproject.org/ | Видео инструкция:
HashKey: 3d1b7b9f793ac0bc71ae134f21f8146d

ID: 1659"

 

Последовал Вашим инструкциям. Пожалуйста просмотрите логи в аттаче. Очень надеюсь на  Вашу помощь.

Заранее благодарен,

С уважением,

Глеб

CollectionLog-2014.10.02-01.21.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 



begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 SetServiceStart('{5eeb83d0-96ea-4249-942c-beead6847053}Gw64', 4);
 StopService('{5eeb83d0-96ea-4249-942c-beead6847053}Gw64');
 QuarantineFile('C:\Users\Glib\AppData\Roaming\runWIN\update.exe','');
 QuarantineFile('C:\Users\Glib\AppData\Roaming\ZZima\zzima_loader\nloader.exe','');
 QuarantineFile('C:\Users\Glib\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
 QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
 QuarantineFile('C:\Windows\system32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys','');
 DeleteFile('C:\Windows\system32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys','32');
 DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
 DeleteFile('C:\Users\Glib\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
 DeleteFile('C:\Users\Glib\AppData\Roaming\ZZima\zzima_loader\nloader.exe','32');
 DeleteFile('C:\Users\Glib\AppData\Roaming\runWIN\update.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewRunWIN');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','qloader');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');
 DeleteService('{5eeb83d0-96ea-4249-942c-beead6847053}Gw64');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
RebootWindows(false);
end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 



begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.


 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://1homepage.biz/?company=5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://1kanal.org/?src=hp1
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.wisesearch.info/?
O2 - BHO: @Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - HKCU\..\Run: [qloader] C:\Users\Glib\AppData\Roaming\ZZima\zzima_loader\nloader.exe -a
O4 - HKCU\..\Run: [NewLoadSystemWIN32] C:\Users\Glib\AppData\Roaming\runWIN\update.exe
O4 - HKCU\..\Run: [NewRunWIN] C:\Users\Glib\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe
O4 - HKCU\..\Run: [Encrypt] C:\Users\Glib\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe


 

 

Сделайте новые логи

 

 





  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.


  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.


  • Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 


 

Ссылка на комментарий
Поделиться на другие сайты

Сообщение от модератора Mark D. Pearlstone
Одно из сообщений перенесено в новую тему http://forum.kasperskyclub.ru/index.php?showtopic=44193
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

кто просил прикладывать лог hijackthis.log ?
нужны логи в архиве от автологгера.

удалите найденное в AdwCleaner (кроме Mail.ru, если нужен)
новый лог после перезагрузки прикрепите.

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Program Files (x86)\MyPC Backup\*',' ');
QuarantineFile('C:\Program Files\AESCrypt\*',' ');
QuarantineFile('C:\Users\Glib\AppData\Roaming\tor\*',' ');
QuarantineFile('C:\Users\Glib\AppData\Roaming\Microsoft DB\*',' ');
QuarantineFile('C:\Users\Glib\AppData\Roaming\GemWare\*',' ');
QuarantineFile('C:\Users\Glib\AppData\Roaming\Tor Project\*',' ');
QuarantineFile('C:\Users\Glib\AppData\Roaming\ICL\*',' ');
QuarantineFile('C:\awh9378.tmp',' ');
QuarantineFile('C:\awhA0B1.tmp',' ');
QuarantineFile('C:\Windows\system32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys',' ');
QuarantineFile('C:\awhC15B.tmp',' ');
QuarantineFile('C:\ProgramData\{3C5CBD7B-3D1D-411E-96C2-513FFCA84D2D}\*',' ');
QuarantineFile('C:\ProgramData\{1BA5A872-FC5B-4433-93E9-DD0C3EAE9F66}\*',' ');
QuarantineFile('C:\Windows\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys',' ');
QuarantineFile('C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys',' ');
QuarantineFile('C:\Users\Glib\AppData\Roaming\cload2\*',' ');
 DeleteFileMask('C:\Program Files (x86)\MyPC Backup\ ','* ',true ,' ');
 DeleteDirectory('C:\Program Files (x86)\MyPC Backup ',' ');
 DeleteFileMask(' C:\Users\Glib\AppData\Roaming\tor\ ','* ',true ,' ');
 DeleteDirectory(' C:\Users\Glib\AppData\Roaming\tor ',' ');
 DeleteFileMask(' C:\Users\Glib\AppData\Roaming\Microsoft DB\ ','* ',true ,' ');
 DeleteDirectory(' C:\Users\Glib\AppData\Roaming\Microsoft DB ',' ');
 DeleteFileMask(' C:\Users\Glib\AppData\Roaming\GemWare\ ',' *',true ,' ');
 DeleteDirectory(' C:\Users\Glib\AppData\Roaming\GemWare ',' ');
 DeleteFileMask(' C:\Users\Glib\AppData\Roaming\Tor Project\ ','* ',true ,' ');
 DeleteDirectory(' C:\Users\Glib\AppData\Roaming\Tor Project ',' ');
 DeleteFileMask('C:\Users\Glib\AppData\Roaming\ICL\ ','* ',true ,' ');
 DeleteDirectory('C:\Users\Glib\AppData\Roaming\ICL',' ');
DeleteFile('C:\awh9378.tmp ');
DeleteFile('C:\awhA0B1.tmp ');
DeleteFile('C:\Windows\system32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys ');
DeleteFile('C:\awhC15B.tmp ');
DeleteFile('C:\Windows\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys ');
DeleteFile('C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys ');
 ClearQuarantine;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:


begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл  Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте новые логи по правилам.

+

Ссылка на комментарий
Поделиться на другие сайты

Сделайте новые логи по правилам.

при активном подключении к internet откройте командную строку (WIN + R ----> cmd) и, кликнув на окно правой кнопкой, - вставьте следующий текст:


ping yandex.ru
ping 213.180.193.11
ping www.kaspersky.com
ping 103.5.149.37
ping www.kaspersky.ru
ping 103.5.149.28
ping odnoklassniki.ru
ping 217.20.147.94
tracert www.kaspersky.com
tracert 103.5.149.37

дождитесь завершения проверок.

выделите результат с самого начала (правый клик - пометить) и сохраните в буфер обмена (ентер).

создайте текстовый документ, вставьте результат и прикрепите его сюда.

Ссылка на комментарий
Поделиться на другие сайты

В этих папках какие нибудь файлы с расширением exe есть?

2014-09-29 08:37:32 ----D---- C:\Users\Glib\AppData\Roaming\tor
2014-09-29 08:37:29 ----D---- C:\Users\Glib\AppData\Roaming\Microsoft DB
2014-09-28 19:40:38 ----D---- C:\Users\Glib\AppData\Roaming\GemWare
2014-09-28 19:40:19 ----D---- C:\Users\Glib\AppData\Roaming\Tor Project
2014-09-28 19:40:10 ----D---- C:\Users\Glib\AppData\Roaming\ICL
  •  
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 
 

Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • 26alexx
      Автор 26alexx
      Мой компьютер заразился скрытым майнером, который при обычном удалении восстанавливается за 5 секунд. Вирус назвался службой "GoogleUpdateTaskMachineQC", разместил себя в папке "C:\ProgramData\Google\Chrome", где поместил два файла "SbieDll.dll" и "updater.exe", вирус сам вносит в исключения папки для проверки: C:\ProgramData, C:\Windows и C:\Windows\System32\config\systemprofile и др. Перестал работать Центр обновления Windows. Не даёт выключать компьютер обычным способом. Только через длительное нажатие кнопки "Включения". Долго грузит "Панель задач" - 2-3 минуты. Может и ещё есть какие-то скрытые изменения. Помогите, пожалуйста, удалить этот вирус-майнер!
      CollectionLog-2025.05.11-22.59.zip
    • Technician6
      Автор Technician6
      Имеем корп сервер KSC14 - компьютеры видны, но в управляемых, когда переносишь их в нужную группу, они просто не переносятся и вываливается ошибка как на скрине.

       
      ни через веб интерфейс ни через консоль не переносится. Вопрос, как исправить?
    • super__feya
      Автор super__feya
      Здравствуйте! У меня следующая проблема: в последнее время самопроизвольно переподключалась мышь (воспроизводился системный звук Windows подключения нового внешнего устройства, после этого курсор на долю секунды замирал и после продолжал работать как и прежде). Я думал, что проблема в разъеме, поэтому переподключил мышь в другой usb-разъем, но ситуация не изменилась. Помимо этого, при открытии монитора ресурсов, во вкладке "ЦП" показаны два приостановленных процесса: "SearchApp.exe" и "ShellExperienceHost.exe" (слышал, что это может быть следствием наличия майнера на компьютере). Также я произвел проверку с помощью "Kaspersky Virus Removal Tool". Обнаружилось порядка дюжины подозрительных файлов, которые я удалил, но ситуация не изменилась. Пожалуйста, подскажите решение данной проблемы.
      CollectionLog-2025.05.05-17.33.zip
    • Reshat
      Автор Reshat
      Добрый день!Зашифровали компьютер с файлами пишут:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is <ID>*KOZANOSTRA-<ID>
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Файлы скана прикрепляю к сообщению.
      Addition.txt FRST.txt
    • 4tetree
      Автор 4tetree
      Добрый день!Зашифровали компьютер с файлами пишут:
       
      ссылка удалена ссылка на скачивание двух зараженных файлов
×
×
  • Создать...