Перейти к содержанию

Почти все файлы стали .AES256

zlobr
 Поделиться

Рекомендуемые сообщения

zlobr

zlobr

Опубликовано
Опубликовано

Добрый день!

Дали посмотреть что стряслось с ноутом у подруги - там оказалось что всё файло зашифровано .AES256.

Она до этого зачем-то пыталась выполнить инструкции из этой темы на форуме, в надежде что они помогут.

Каковы мои дальнейшие действия? Лог автологгера прилагаю.

Заранее благодарен!

CollectionLog-2014.10.03-11.12.zip

Roman_Five

Roman_Five

Опубликовано
Опубликовано

сразу скажу, что расшифровать файлы без обращения к злоумышленникам в данный момент невозможно.
какой у подруги антивирус? C:\Program Files\ESET\ESET NOD32 Antivirus\ или C:\Program Files\AVAST Software\Avast\ ? Если avast! Premier, то надо удалить остатки второго.
http://kb.eset.com/esetkb/index?page=content&id=soln2289 (в безопасном режиме)

mike 1

mike 1

Опубликовано
Опубликовано
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe.bat','');
 QuarantineFileF('C:\Users\user\AppData\Roaming\ICL', '*', true, ' ', 0, 0);
 QuarantineFileF('C:\Users\user\AppData\Roaming\GemWare', '*', true, ' ', 0, 0);
 QuarantineFileF('C:\Users\user\AppData\Roaming\Microsoft DB', '*', true, ' ', 0, 0);
 QuarantineFileF('C:\extensions', '*', true, ' ', 0, 0);     
 DeleteFile('C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe.bat','32');     
 DeleteFileMask('C:\extensions', '*', true, ' ');
 DeleteFileMask('C:\gmr_scripts', '*', true, ' ');
 DeleteDirectory('C:\extensions');     
 DeleteDirectory('C:\gmr_scripts');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;  
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1412235899&from=cor&uid=HitachiXHTS547550A9E384_120406J2350050E48V6DX
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1412235899&from=cor&uid=HitachiXHTS547550A9E384_120406J2350050E48V6DX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1412235899&from=cor&uid=HitachiXHTS547550A9E384_120406J2350050E48V6DX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1412235899&from=cor&uid=HitachiXHTS547550A9E384_120406J2350050E48V6DX&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1412235899&from=cor&uid=HitachiXHTS547550A9E384_120406J2350050E48V6DX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1412235899&from=cor&uid=HitachiXHTS547550A9E384_120406J2350050E48V6DX
 
 

 

  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 
 

  • Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе
  • Распакуйте архив с утилитой в отдельную папку
  • Запустите FixerBro

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

  • В главном окне программы нажмите на кнопку "Проверить"
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
  • По окончанию сканирования нажмите на кнопку "Отчет".
  • Сохраните лог утилиты
  • Прикрепите сохраненный отчет в вашей теме.
 
 
zlobr

zlobr

Опубликовано
  • Автор
Опубликовано

Вас понял, жаль что с файла ми пролёт, но надо хотябы собрать логи, если это поможет общему делу. Спасибо! Сразу отпишу как-чего.

mike 1

mike 1

Опубликовано
Опубликовано

Дополнительно пришлите несколько зашифрованных файлов для теста дешифратора. 

mike 1

mike 1

Опубликовано
Опубликовано

 

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Clean" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!.
 
Подробнее читайте в этом руководстве.
 
С расшифровкой не сможем помочь. 
Roman_Five

Roman_Five

Опубликовано
Опубликовано

приложите ID и HashKey из сообщения злоумышленника.
есть шанс расшифровать файлы

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Denis6869
      Зашифровались файлы. Тип файлов теперь стал "NESCHELKAIEBALOM"
      Автор Denis6869
      Добрый день, пришли на работу, а тут все файлы зашифрованы вымогателями. Помогите расшифровать и вылечить файлы и компьютер.  Скачал FRST, нажал сканировать, после чего появились два файла Addition и FRST. 
    • sputnikk
      Стали слетать настройки BIOS. Что может быть?
      Автор sputnikk
      Материнская плата ASUS P8B75-M LE.
      В первый раз было 2 декабря, теперь сегодня. Оба раза при утреннем включении. Включаю кнопкой на удлинители, биос сам запускает комп (восстанавливает питание). Но вместо запуска винды получил окно входа в биос.
      Зашёл внутрь, системные дата и время правильные, то есть 100% батарейка рабочая.
      Сегодня из настроек поменял только IDE на AHCI.  В прошлый раз на всякий случай перепрошил той же прошивкой.  
      Что может быть? МП 12 лет.
       

    • Сергей1202
      [РЕШЕНО] После обновлений виндовс экран стал черным
      Автор Сергей1202
      Вчера рабочий стол после перезагрузки стал черным но все значки остались, что делать я не знал и попробовал восстановить систему из точки восстановления, часа 4 или больше система востановлмвалась. После восстановления экран все также был черным, значки браузеров хром и Яндекс не реагировали. Сегодня переустановил Яндекс, скачал по новому хром-  в течении 10-15 минут шла инициализация Хром. Хотел бы узнать в чем причина неожижанного действия. И еще каждый раз когда открываю Хром, открывается окошко с - Что нового в 1ClickVPN.
       zip-архив с собранными логами - CollectionLog приложил
      CollectionLog-2025.08.12-10.28.zip
    • Евгения7777777777
      [РЕШЕНО] Ноут с SSD стал долго загружаться
      Автор Евгения7777777777
      В какой-то из дней ноут стал долго грузиться при включении. На нем стоит ssd. Ранее загрузка занимала 1-2с.
      Место на жестких есть, системный имеет свободное место 40+ гигов.
      CollectionLog-2023.12.14-20.24.zip
    • Tybloko
      стала долго грузить система после удаления вирусов
      Автор Tybloko
      Приблизительно два месяца назад мне помогли у полным удалением вируса с системы, на этом форму. Вирус вроде действительно не оставил больше следов, но вот система стала грузить долго(секунд 20-30). Недавно система стала грузить ещё дольше. Приблизительно 1-2 минуты. Основное происходит на этапе загрузки, когда появляется колёсико этой самой загрузки, вроде как при включении биоса. Хотелось бы найти решение проблемы.  
×
×
  • Создать...