Вирусы: шифрование файлов, реклама в браузере

[asia_gold]

Добрый день!

 

Вирус шифрует файлы AES256, везде появляется файл ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt, следующего содержания:

 

Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.

Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.

 

Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.

TOR: https://www.torproject.org/ | Видео инструкция:

url_1: http://y6kpyefykdvswxps.onion:4567/pay.html

url_2: http://gi3ruskskqzff2rw.onion:4567/pay.html

HashKey: 686cbe308e416b8a124b7da737a721dd

ID: 11978

 

При работе в браузере на любых сайтах появляется реклама.

CollectionLog-2014.10.07-11.40.zipПолучение информации...

[Roman_Five]

попробуйте деинсталлировать

baidu version 1.5-->"C:\Program Files (x86)\baidu\unins000.exe"

отпишитесь об успехах.

[asia_gold]

Добрый день! 

 

Деинсталлировала, пишет, что некоторые файлы не удалены.

[Roman_Five]

удалим скриптом.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\program files (x86)\baidu\bindex.exe');
 SetServiceStart('BDSafeBrowser', 4);
 SetServiceStart('BDArKit', 4);
 SetServiceStart('bd0004', 4);
 SetServiceStart('bd0001', 4);
 SetServiceStart('BDSGRTP', 4);
 StopService('BDSafeBrowser');
 StopService('BDArKit');
 StopService('bd0004');
 StopService('bd0001');
 QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
 QuarantineFile('C:\Users\Asia\AppData\Roaming\runWIN\Update.exe','');
 QuarantineFile('C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
 QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','');
 QuarantineFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\BDArKit.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\bd0004.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\bd0001.sys','');
 QuarantineFile('C:\Program Files (x86)\Common Files\Baidu\*','');
 QuarantineFile('c:\program files (x86)\baidu\*','');
 QuarantineFile('C:\Windows\system32\bd64_x64.dll',' ');
 QuarantineFile('C:\Windows\system32\bd64_x86.dll',' ');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','32');
 DeleteFile('C:\Windows\system32\bd64_x64.dll ',' ');
 DeleteFile('C:\Windows\system32\bd64_x86.dll',' ');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','32');
 DeleteFileMask('C:\Program Files (x86)\Common Files\Baidu\','* ',true ,' ');
 DeleteDirectory('C:\Program Files (x86)\Common Files\Baidu\ ',' ');
 DeleteFileMask('C:\Program Files (x86)\baidu\','* ',true ,' ');
 DeleteDirectory('C:\Program Files (x86)\baidu\',' ');
 DeleteFile('C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
 DeleteFile('C:\Users\Asia\AppData\Roaming\runWIN\Update.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
 DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
 DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
 DeleteFileMask('C:\Users\Asia\AppData\Roaming\Microsoft DB\ ','* ',true ,' ');
 DeleteDirectory('C:\Users\Asia\AppData\Roaming\Microsoft DB\ ',' ');
 DeleteFileMask('C:\Users\Asia\AppData\Roaming\Mail.RU NewGamesT\ ','* ',true ,' ');
 DeleteDirectory('C:\Users\Asia\AppData\Roaming\Mail.RU NewGamesT\ ',' ');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteService('BDSafeBrowser');
 DeleteService('BDArKit');
 DeleteService('bd0004');
 DeleteService('bd0001');
 DeleteService('BDSGRTP');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл  Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O4 - HKCU\..\Run: [baidu] C:\Program Files (x86)\baidu\BindEx.exe

 

Сделайте новые логи по правилам.

+ лог AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

+

Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе

• Распакуйте архив с утилитой в отдельную папку

• Запустите FixerBro

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В главном окне программы нажмите на кнопку "Проверить"

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)

• По окончанию сканирования нажмите на кнопку "Отчет".

• Сохраните лог утилиты

• Прикрепите сохраненный отчет в вашей теме.

[asia_gold]

Сделано

CollectionLog-2014.10.07-14.01.zipПолучение информации...

AdwCleanerR0.txtПолучение информации...

FixerBro_20141007.txtПолучение информации...

[Roman_Five]

запустите ещё раз FixerBro и, после проверки, отметьте пункты:

C:\Users\Public\Desktop\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat "http://1kanal.org/?src=hp1" - (Объект запуска не найден)]
C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://1kanal.org/?src=hp1" - (Объект запуска не найден)]
C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://1kanal.org/?src=hp1" - (Объект запуска не найден)]
C:\Users\Asia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat "http://1kanal.org/?src=hp1" - (Объект запуска не найден)]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat "http://1kanal.org/?src=hp1" - (Объект запуска не найден)]

нажмите исправить.

 

новый лог приложите.

 

запустите ещё раз AdwCleaner и, после проверки, снимите отметки с элементов Mail.ru и нажмите очистить.

новый лог после перезагрузки приложите.

 

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол. 

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exe

Подробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10294&postcount=1

[asia_gold]

Сделано

Лог ComboFix прилагаю. Извините, когда писала ответ, ещё не было об ComboFix.

Страница helpdesk Лаборатории Касперского не открывается, перенаправляет на главную.

FixerBro_20141007 (2).txtПолучение информации...

AdwCleanerS0.txtПолучение информации...

log.txtПолучение информации...

[thyrex]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С

KillAll::
 
File::
c:\windows\SysWow64\removeSAddons.bat
c:\windows\system32\bd64_x86.dll
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\bd64_x64.dll
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\drivers\bd0004.sys
 
Driver::
 
Folder::
c:\program files (x86)\SmartGitHg
 
Registry::
 
FileLook::
 
DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[asia_gold]

Сделано

log2.txtПолучение информации...

[mike 1]

Пришлите несколько зашифрованных картинок.

[asia_gold]

Прилагаю архив с изображениями. Реклама из браузера пока не пропала.

Но её стало меньше.

Нашла в расширениях Google Chrome некое NetSecurity, удалила, реклама пропала, можно считать, что вирусов больше нет? Я так понимаю, что все шифрованные файлы (в программах, например) больше не будут работоспособны и программы следует переустановить?

шифрованные изображения.rarПолучение информации...

[Roman_Five]

 

 

  asia_gold сказал:

Я так понимаю, что все шифрованные файлы (в программах, например) больше не будут работоспособны и программы следует переустановить?

пока, видимо, да.

 

вручную удалите файл

c:\windows\system32\drivers\bd0001_1.sys

выполните скрипт.

http://virusinfo.info/showthread.php?t=73352

[mike 1]

  Цитата

 

 

Я так понимаю, что все шифрованные файлы (в программах, например) больше не будут работоспособны и программы следует переустановить?

Ждите. Идет работа по добавлению некоторых секретных ключей в утилиту ЛК. 

[Roman_Five]

asia_gold

 

HashKey: 686cbe308e416b8a124b7da737a721dd
ID: 11978

[Roman_Five]

Внимание! Данный дешифратор предназначен только для пользователя asia_gold


Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется
 
Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов.
 
Дешифратор
 
Принцип работы с дешифратором:
 
1. Сохраните дешифратор в отдельную созданную папку. 
 
2. Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора.

key.zipПолучение информации...