Вирус AES256 (расширение файлов)

[salutt 0]

Здравствуйте! Проблема как и у многих... Вирус зашифровал все файлы с распространенными расширениями.

Это было в текстовом документе созданном вирусом:

HashKey: e0d0dc16720c0f550aaf20ec3df9289d
ID: 22234

CollectionLog-2014.10.09-19.18.zip

[Roman_Five 598]

деинсталлируйте

Browser Tab Search by Ask for Internet Explorer-->"C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\BrowserTabSearch\BrowserTabSearchUninstall.exe" /browser=ie

удалите папки

C:\Users\Salut\AppData\Roaming\Mail.RU NewGamesT
2014-10-08 19:04:06 ----D---- C:\Users\Salut\AppData\Roaming\tor
2014-10-08 19:04:00 ----D---- C:\Users\Salut\AppData\Roaming\Microsoft DB
2014-10-08 17:15:09 ----D---- C:\Users\Salut\AppData\Roaming\GemWare
2014-10-08 17:13:45 ----D---- C:\Users\Salut\AppData\Roaming\Tor Project
2014-10-08 17:13:27 ----D---- C:\Users\Salut\AppData\Roaming\ICL

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\Users\Salut\appdata\roaming\mail.ru newgamest\api.dll','');
 QuarantineFile('C:\Users\Salut\AppData\Roaming\runWIN\update.exe','');
 QuarantineFile('C:\Users\Salut\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
 QuarantineFile('C:\Users\Salut\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','');
 DeleteFile('C:\Users\Salut\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32');
 DeleteFile('C:\Users\Salut\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
 DeleteFile('C:\Users\Salut\AppData\Roaming\runWIN\update.exe','32');
 DeleteFile('C:\Users\Salut\appdata\roaming\mail.ru newgamest\api.dll','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл  Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://zagugli.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Users\Salut\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll
O4 - HKCU\..\Run: [LoaderSystemWIN] C:\Users\Salut\AppData\Roaming\runWIN\Update.exe
O4 - HKCU\..\Run: [RuningWIN32] C:\Users\Salut\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe
O4 - HKCU\..\Run: [NewLoadSystemWIN32] C:\Users\Salut\AppData\Roaming\runWIN\update.exe
O4 - HKCU\..\Run: [Encrypt] C:\Users\Salut\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe

 

Сделайте новые логи по правилам.

 

+

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

+

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647404

[thyrex 1 468]

Вопрос

Заодно определитесь, где будете проходить курс лечения - здесь или на Вирусинфо

[Mark D. Pearlstone 1 703]

Сообщение от модератора "Mark D. Pearlstone"

Несколько сообщений перенесено в новую тему http://forum.kasperskyclub.ru/index.php?showtopic=44299

[Roman_Five 598]

salutt

 

 

 

HashKey: e0d0dc16720c0f550aaf20ec3df9289d ID: 22234

[Roman_Five 598]

Внимание! Данный дешифратор предназначен только для пользователя salutt


Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется
 
Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов.
 
Дешифратор
 
Принцип работы с дешифратором:
 
1. Сохраните дешифратор в отдельную созданную папку. 
 
2. Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора.

key.zip

[thyrex 1 468]

@Roman_Five, пользователь сам давно помог себе http://virusinfo.info/showthread.php?t=168214&p=1171747&viewfull=1#post1171747  

[Mark D. Pearlstone 1 703]

Сообщение от модератора Mark D. Pearlstone

Одно из сообщений перенесено в новую тему http://forum.kasperskyclub.ru/index.php?showtopic=44367