Заражение вирусом-шифратором AES-256

[3d-punk]

Скачал дрова на принтер hp.
Скачал .еxe-файл(только имя файла совсем на hp не было похоже), запустил, установил.
Принтер не определился, подумал, что дрова не подошли.
Перезагрузил комп и обнаружил на рабочем столе exe-файл с именем "Онлайн консультант", а рядом с ним текстовый файл.

Открыл его, а там сказано, что мой компьютер заражен и можно вылечить только если отправите деньги на определенный счет через "Онлайн консультант"
Пока я читал требования этот вирус в фоновом режиме во всю шифровал мои данные на компьютере(аудио, видео, текст). 
После чего все зараженные данные имели расширение .AES256
Порылся в интернете,скачал две программы: "XoristDecryptor" и "RectorDecryptor". Помогло, но частично: теперь я мог открывать текстовые файлы, аудио и видео.
С картинками немного труднее: расширения .AES256 уже не было, но при открытии картинки мне выдавалось сообщение, что нельзя просмотреть картинку, по непонятным мне причинам.
Некоторые архивы тоже не смог открыть, т.к. мне выдавалось сообщение, что архив поврежден.

Наткнулся на вас, порекомендовали, как ребят, которые могут помочь. Как я посмотрел, я не первый здесь)
Заранее благодарю ребята-специалисты. Вы делаете нашу жизнь легче, т.к. нам не приходится терять своих данных, которые нам очень важны!

CollectionLog-2014.10.09-23.49.zip

[mike 1]

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;   
 QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
 QuarantineFile('C:\Users\Вперед\AppData\Roaming\newSI_4196\s_inst.exe','');
 QuarantineFile('C:\Users\Вперед\AppData\Roaming\newSI_2149\s_inst.exe','');
 QuarantineFile('C:\Users\Вперед\AppData\Roaming\newSI_20117\s_inst.exe','');
 QuarantineFile('C:\Users\Вперед\AppData\Roaming\newSI_20107\s_inst.exe','');
 QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','');
 QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','');
 QuarantineFile('C:\Users\Вперед\AppData\Roaming\SetMyHomePage\setmyhomepage.exe','');
 QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
 QuarantineFileF('%USERPROFILE%\appdata\roaming\mail.ru newgamest', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\runWIN', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\ICL', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\GemWare', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\Microsoft DB', '*', true, ' ', 0, 0);
 QuarantineFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
 QuarantineFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Главное меню\Программы\Автозагрузка\runWIN.exe','');
 DeleteFile('%USERPROFILE%\AppData\Roaming\runWIN\Update.exe','32');
 DeleteFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Главное меню\Программы\Автозагрузка\runWIN.exe','32');
 DeleteFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');     
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');   
 DeleteFileMask('%USERPROFILE%\appdata\roaming\mail.ru newgamest', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\runWIN', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\ICL', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\GemWare', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\Microsoft DB', '*', true, ' ');
 DeleteDirectory('%USERPROFILE%\appdata\roaming\mail.ru newgamest');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\runWIN');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\ICL');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\GemWare');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\Microsoft DB');
 DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
 DeleteFile('C:\Users\Вперед\AppData\Roaming\SetMyHomePage\setmyhomepage.exe','32');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','32');
 DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','32');
 DeleteFile('C:\Windows\Tasks\newSI_20107.job','64');
 DeleteFile('C:\Windows\Tasks\newSI_20117.job','64');
 DeleteFile('C:\Windows\Tasks\newSI_2149.job','64');
 DeleteFile('C:\Windows\Tasks\newSI_4196.job','64');
 DeleteFile('C:\Users\Вперед\AppData\Roaming\newSI_20107\s_inst.exe','32');
 DeleteFile('C:\Users\Вперед\AppData\Roaming\newSI_20117\s_inst.exe','32');
 DeleteFile('C:\Users\Вперед\AppData\Roaming\newSI_2149\s_inst.exe','32');
 DeleteFile('C:\Users\Вперед\AppData\Roaming\newSI_4196\s_inst.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
 DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
 DeleteFile('C:\Windows\system32\Tasks\newSI_2149','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Schedule','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SetMyHomePage','command');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteFileMask('C:\Users\Вперед\AppData\Roaming\newSI_4196', '*', true, ' ');
 DeleteFileMask('C:\Users\Вперед\AppData\Roaming\newSI_2149', '*', true, ' ');
 DeleteFileMask('C:\Users\Вперед\AppData\Roaming\newSI_20117', '*', true, ' ');
 DeleteFileMask('C:\Users\Вперед\AppData\Roaming\newSI_20107', '*', true, ' ');
 DeleteFileMask('C:\ProgramData\Schedule', '*', true, ' ');
 DeleteFileMask('C:\Users\Вперед\AppData\Roaming\SetMyHomePage', '*', true, ' ');
 DeleteDirectory('C:\Users\Вперед\AppData\Roaming\SetMyHomePage');     
 DeleteDirectory('C:\Users\Вперед\AppData\Roaming\newSI_4196');     
 DeleteDirectory('C:\Users\Вперед\AppData\Roaming\newSI_2149');     
 DeleteDirectory('C:\Users\Вперед\AppData\Roaming\newSI_20117');     
 DeleteDirectory('C:\Users\Вперед\AppData\Roaming\newSI_20107');     
 DeleteDirectory('C:\ProgramData\Schedule');          
BC_ImportAll;
ExecuteSysClean;              
BC_Activate;    
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://1kanal.org/?src=hp1

 

 

• Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе

• Распакуйте архив с утилитой в отдельную папку

• Запустите FixerBro

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В главном окне программы нажмите на кнопку "Проверить"

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)

• По окончанию сканирования нажмите на кнопку "Отчет".

• Сохраните лог утилиты

• Прикрепите сохраненный отчет в вашей теме.

 

 

Скачайте ComboFix здесь и сохраните в корень диска С. 

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

 

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

 

Подробнее в "ComboFix. Руководство по применению."

 

 

[Roman_Five]

@3d-punk,

приложите ID и HashKey из сообщения злоумышленника.
есть шанс расшифровать файлы