и опять AES256

[Dash]

Здравствуйте! Не могу сказать точно,после чего появился, как я понимаю, знакомйы вам файлик на  робочем столе файлик .txt "ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ"....там пишет

"Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.

Для этого откройте ярлык 'Ваш консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл, файлы на компе теперь имеют расширение AES256... Лог:

CollectionLog-2014.10.08-19.12.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\kreker\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','');
 QuarantineFile('C:\Users\kreker\AppData\Roaming\runWIN\Update.exe','');
 QuarantineFile('C:\Users\kreker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','32');
 DeleteFile('C:\Users\kreker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
 DeleteFile('C:\Users\kreker\AppData\Roaming\runWIN\Update.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
 DeleteFile('C:\Users\kreker\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32');
DeleteFileMask('C:\Users\kreker\AppData\Roaming\Mail.RU NewGamesT', '*', true);
DeleteDirectory('C:\Users\kreker\AppData\Roaming\Mail.RU NewGamesT');
DeleteFileMask('C:\Users\kreker\AppData\Roaming\runWIN', '*', true);
DeleteDirectory('C:\Users\kreker\AppData\Roaming\runWIN');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

Сделайте лог ComboFix

[Dash]

Архив карантина пустой, разве так джолжно быть? Новые логи:

и еще,скажите пожалуйста,я так поняла,что пока защиты от этой гадости никакой нет?

ComboFix.rar

CollectionLog-2014.10.08-20.59.zip

[thyrex]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С

KillAll::
 
File::
c:\windows\system32\drivers\bd0001_1.sys
c:\windows\system32\drivers\bd0004.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\bd64_x86.dll
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\bd64_x64.dll
 
Driver::
BDSafeBrowser
BDSGRTP
bd0004
BDArKit
 
Folder::
c:\program files (x86)\Common Files\Baidu
c:\programdata\Baidu
c:\program files (x86)\baidu
 
Registry::
 
FileLook::
 
DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Dash]

Лог:

ComboFix.rar

[mike 1]

• Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
  
• Запустите OTM by OldTimer (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора)
  
• временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
  

:Processes

 

:Services

bd0004

BDSafeBrowser

BDArKit

BDSGRTP

 

:Files

c:\program files (x86)\baidu

c:\programdata\Baidu

c:\program files (x86)\Common Files\Baidu

c:\windows\system32\drivers\bd0001_1.sys

c:\windows\system32\drivers\bd0004.sys

c:\windows\system32\drivers\BDSafeBrowser.sys

c:\windows\system32\drivers\bd0001.sys

c:\windows\system32\bd64_x64.dll

c:\windows\system32\drivers\BDArKit.sys

c:\windows\system32\bd64_x86.dll

 

:Reg

 

:Commands

[purity]

[Reboot]

• В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". 
  

• Компьютер перезагрузится.
  

• После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и прикрепите его в следующее сообщение.
  

 

[Dash]

Сделано,лог:

10092014_182328.log

[mike 1]

Сделайте новый лог Combofix. 

[Dash]

СвеженькийЛог

ComboFix.rar

[Roman_Five]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. 

KillAll::
 
File::
c:\windows\system32\bd64_x86.dll
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\bd64_x64.dll
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\drivers\bd0004.sys
c:\windows\system32\drivers\bd0001_1.sys
 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
 DeleteFile('c:\windows\system32\bd64_x86.dll');
 DeleteFile('c:\windows\system32\drivers\BDArKit.sys');
 DeleteFile('c:\windows\system32\bd64_x64.dll');
 DeleteFile('c:\windows\system32\drivers\bd0001.sys');
 DeleteFile('c:\windows\system32\drivers\BDSafeBrowser.sys');
 DeleteFile('c:\windows\system32\drivers\bd0004.sys');
 DeleteFile('c:\windows\system32\drivers\bd0001_1.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

 

Сделайте новые логи по правилам.

[Dash]

Все сделано,новые логи:

ComboFix.zip

CollectionLog-2014.10.10-08.33.zip

[Roman_Five]

выполните скрипт AVZ из моего прошлого ответа в безопасном режиме.

 

приложите новые логи.

[Roman_Five]

@Dash,

приложите ID и HashKey из сообщения злоумышленника.
есть шанс расшифровать файлы