Вирус зашифровал файлы

[Юлия Щеголькова]

Уважаемые сотрудники сайта, прошу Вас оказать помощь в моей проблемме.

При скачивании очередной программы с интернета, по требованию системы, я отключила защиту компьютера (потом понял что допустила ошибку). В результате чего, вирус зашифровал все файлы, и они поменяли свое расширение на  .AES256. Также в каждой папке появился текстовый документ с контактами злоумышлнников. Данный файл я тоже прикрепила.

CollectionLog-2014.10.10-11.01.zip

ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt

[mike 1]

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFileF('%USERPROFILE%\appdata\roaming\mail.ru newgamest', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\runWIN', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\ICL', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\GemWare', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\Microsoft DB', '*', true, ' ', 0, 0);
 QuarantineFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
 QuarantineFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Главное меню\Программы\Автозагрузка\runWIN.exe','');
 DeleteFile('%USERPROFILE%\AppData\Roaming\runWIN\Update.exe','32');
 DeleteFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Главное меню\Программы\Автозагрузка\runWIN.exe','32');
 DeleteFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');     
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');   
 DeleteFileMask('%USERPROFILE%\appdata\roaming\mail.ru newgamest', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\runWIN', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\ICL', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\GemWare', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\Microsoft DB', '*', true, ' ');
 DeleteDirectory('%USERPROFILE%\appdata\roaming\mail.ru newgamest');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\runWIN');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\ICL');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\GemWare');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\Microsoft DB');       
 TerminateProcessByName('c:\programdata\iepluginservices\pluginservice.exe');
 QuarantineFile('C:\Users\U\AppData\Local\ConvertAd\ConvertAd.exe','');
 QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','');
 QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtectTray.exe','');
 QuarantineFile('c:\programdata\iepluginservices\pluginservice.exe','');   
 DeleteFile('c:\programdata\iepluginservices\pluginservice.exe','32');
 DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtectTray.exe','32');
 DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\Users\U\AppData\Local\ConvertAd\ConvertAd.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AnyProtect');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AnyProtect Tray');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ConvertAd');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

• Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе

• Распакуйте архив с утилитой в отдельную папку

• Запустите FixerBro

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В главном окне программы нажмите на кнопку "Проверить"

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)

• По окончанию сканирования нажмите на кнопку "Отчет".

• Сохраните лог утилиты

• Прикрепите сохраненный отчет в вашей теме.

 

Изменено 10 октября, 2014 пользователем mike 1

[Юлия Щеголькова]

Все выше указанные руководства были сделаны. Во вложении отчеты по проверкам.

AdwCleanerR0.txt

FixerBro_20141010.txt

[Roman_Five]

удалите всё найденное в AdwCleaner (можете оставить Mail.ru)

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160

[Юлия Щеголькова]

сделала необходимое.

отчет во вложении.

AdwCleanerS1.txt

[Roman_Five]

приложите новые логи по правилам.

[Юлия Щеголькова]

так правильно?

AdwCleanerR4.txt

FixerBro_20141010 (2).txt

[Roman_Five]

нет.

нужны логи автологгера.

[Юлия Щеголькова]

Извините, не поняла Вас сразу.

Логи были отправлены.

И еще раз произвела проверки.

FixerBro_20141011.txt

AdwCleanerR6.txt

[mike 1]

Юлия Щеголькова нужен новый лог  CollectionLog. 

 

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] 

[Юлия Щеголькова]

Посмотрите, пожалуйста, теперь правильно?

Заранее спасибо.

CollectionLog-2014.10.11-14.04.zip

[thyrex]

Что в папке C:\Users\U\AppData\Roaming\Pirates854?

 

http://support.kaspersky.ru/viruses/disinfection/10556 пробуйте

[Юлия Щеголькова]

Добрый день!

Последовала Вашим интсрукция и воспользовалась утилитой RakhniDecryptor, при проверке система отвечает, что невозможно подобрать пароль.

Пример отчета проги прилагаю.

Возможно ли что-то еще сделать?

Отчет.docx

[Roman_Five]

 

 

Что в папке C:\Users\U\AppData\Roaming\Pirates854?

 

 

Возможно ли что-то еще сделать?

пока не появятся новые пароли для добавления в утилиту - нет.

[Юлия Щеголькова]

Хорошо, спасибо.