паразит AES256

[эрих]

Случайно загрузил на компьютер Baidu который залез во множество мест и даже в скрытые папки. но позже избавился от их. Спустя день появился ярлык мошенников войдя в который они предлогают решить проблему за даньги. С помощью диспечера задач нашёл последнего Baidu и избавился. И избавился от папки в которой находился ярлык мошенников и т.д. но доступ к фото видео и т.д. не появился.. Вот сделанные логи по инструкции данной сдесь http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] CollectionLog-2014.10.07-22.27.zip

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 SetServiceStart('BDSafeBrowser', 4);
 SetServiceStart('bd0004', 4);
 SetServiceStart('bd0002', 4);
 SetServiceStart('bd0001', 4);
 QuarantineFile('C:\Program Files\Mozilla Firefox\upd_ext.exe','');
 QuarantineFile('C:\Users\евгений\AppData\Roaming\Skype\googleupd.exe','');
 QuarantineFile('NewGamesT\Encrypt.exe','');
 QuarantineFile('C:\Users\евгений\AppData\Roaming\runWIN\Update.exe','');
 QuarantineFile('C:\Users\евгений\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
 QuarantineFile('C:\Program Files\baidu\BindEx.exe','');
 QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
 QuarantineFile('C:\Windows\system32\drivers\19FB76383.sys','');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','32');
 DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
 DeleteFile('C:\Program Files\baidu\BindEx.exe','32');
 DeleteFile('C:\Users\евгений\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
 DeleteFile('C:\Users\евгений\AppData\Roaming\runWIN\Update.exe','32');
 DeleteFile('NewGamesT\Encrypt.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI','32');
 DeleteFile('C:\Users\евгений\AppData\Roaming\Skype\googleupd.exe','32');
 DeleteFile('C:\Program Files\Mozilla Firefox\upd_ext.exe','32');
 DeleteFileMask('C:\Users\евгений\AppData\Roaming\Baidu\','* ',true ,' ');  
 DeleteFileMask('C:\ProgramData\Baidu\','* ',true ,' ');  
 DeleteFileMask('C:\Users\евгений\AppData\Roaming\GemWare\','* ',true ,' ');  
 DeleteFileMask('C:\Users\евгений\AppData\Roaming\Tor Project\','* ',true ,' ');  
 DeleteFileMask('C:\Users\евгений\AppData\Roaming\Browsers\','* ',true ,' ');  
 DeleteFileMask('C:\Users\евгений\AppData\Roaming\ICL\','* ',true ,' ');    
 DeleteDirectory('C:\Users\евгений\AppData\Roaming\Baidu ',' ');
DeleteDirectory('C:\ProgramData\Baidu ',' ');  
DeleteDirectory('C:\Users\евгений\AppData\Roaming\GemWare ',' ');  
DeleteDirectory('C:\Users\евгений\AppData\Roaming\Tor Project ',' ');  
DeleteDirectory('C:\Users\евгений\AppData\Roaming\Browsers ',' ');  
DeleteDirectory('C:\Users\евгений\AppData\Roaming\ICL ',' ');    
   DelCLSID('MozillaFirefox');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
 DeleteService('BDSafeBrowser');
 DeleteService('bd0004');
 DeleteService('bd0002');
 DeleteService('bd0001');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

 

Для создания архива с карантином выполните скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл  Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://1kanal.org/?src=hp1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - HKLM\..\Run: [Schedule] "C:\ProgramData\Schedule\timetasks.exe"
O4 - HKCU\..\Run: [SystemScript] "C:\Users\евгений\AppData\Local\Microsoft\Windowssystem.vbs"
O4 - HKCU\..\Run: [LoaderSystemWIN] C:\Users\евгений\AppData\Roaming\runWIN\Update.exe
O4 - HKCU\..\Run: [RuningWIN32] C:\Users\евгений\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe
O4 - HKCU\..\Run: [baidu] C:\Program Files\baidu\BindEx.exe
O4 - HKCU\..\Run: [NewLoadSystemWIN32] C:\Users\евгений\AppData\Roaming\runWIN\update.exe
O4 - HKCU\..\Run: [Encrypt] C:\Users\евгений\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe

 

Сделайте новые логи по правилам.

 

+

лог AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

 

+

лог FixerBro

 

Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Запустите FixerBro.

В главном окне программы нажмите на кнопку "Проверить".

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt).

По окончанию сканирования нажмите на кнопку "Отчет".

Сохраните лог утилиты.

Прикрепите сохраненный отчет в вашей теме.

[эрих]

Логи

AdwCleanerR3.txt

FixerBro_20141010.txt

[thyrex]

 

 

Сделайте новые логи по правилам.

Где?

[Roman_Five]

+

@эрих,

перестаньте вставлять цитаты из скриптов и рекомендаций.

[эрих]

 AutoLogger

CollectionLog-2014.10.10-17.58.zip

[thyrex]

http://support.kaspersky.ru/viruses/disinfection/10556 пробуйте

[эрих]

http://support.kaspersky.ru/viruses/disinfection/10556 пробуйте

Непомогло ( Пишет: Невозможно подобрать пароль

[thyrex]

Увы, больше помочь нечем

[эрих]

Увы, больше помочь нечем

Увы, больше помочь нечем

Больше вобще нет никаких вариантов??? у меня тут просто очень нужные фото зашифровались. 

[thyrex]

Никаких, кроме связи со злодеями

[mike 1]

Назовите мне ваш id и hashkey до 17 октября.