Вирус зашифровал файлы

[Ramiro2005 0]

Добрый день! Проблема...

Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.
Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.

Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.
TOR: https://www.torproject.org/ | Видео инструкция:
url_1: http://y6kpyefykdvswxps.onion:4567/pay.html
url_2: http://gi3ruskskqzff2rw.onion:4567/pay.html
HashKey: f8fb678f19b6f5e1a3af3ed64bb2ba15
ID: 24056

 

 

CollectionLog-2014.10.12-19.50.zip

[mike 1 979]

Здравствуйте! Что качали с левых сайтов и запускали перед тем как получили шифратора? 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFileF('%USERPROFILE%\appdata\roaming\Mail.RU NewGamesT', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\runWIN', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\ICL', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\GemWare', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\Microsoft DB', '*', true, ' ', 0, 0);
 QuarantineFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
 QuarantineFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Главное меню\Программы\Автозагрузка\runWIN.exe','');
 DeleteFile('%USERPROFILE%\AppData\Roaming\runWIN\Update.exe','32');
 DeleteFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Главное меню\Программы\Автозагрузка\runWIN.exe','32');
 DeleteFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');     
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');   
 DeleteFileMask('%USERPROFILE%\appdata\roaming\Mail.RU NewGamesT', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\runWIN', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\ICL', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\GemWare', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\Microsoft DB', '*', true, ' ');
 DeleteDirectory('%USERPROFILE%\appdata\roaming\Mail.RU NewGamesT');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\runWIN');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\ICL');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\GemWare');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\Microsoft DB');
 TerminateProcessByName('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.443\baiduprotect.exe');
 SetServiceStart('BDSafeBrowser', 4);
 SetServiceStart('BDArKit', 4);
 SetServiceStart('bd0004', 4);
 SetServiceStart('bd0001', 4);
 SetServiceStart('BDSGRTP', 4);
 StopService('BDSafeBrowser');
 StopService('BDArKit');
 StopService('bd0004');
 StopService('bd0001');
 StopService('BDSGRTP');
 QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\7z.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\ad.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDKitUtils.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDLogicUtils.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDMNet.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDMReport.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\DriverManager.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\dynplugins\AssistReportPlugin.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\plugins\BaiduRepair.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\plugins\HIPS.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\SafeBrowserDll.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BaiduProtect.exe','32');
 DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32');
 DeleteFile('C:\Program Files (x86)\baidu\BindEx.exe','32');
 DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
 DeleteFile('C:\Windows\system32\bd64_x86.dll','32');
 DeleteFile('C:\Windows\system32\bd64_x64.dll','32');
 DeleteFile('C:\Windows\system32\drivers\bd0001_1.sys','32');     
 DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
 DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');
 DeleteService('BDSafeBrowser');
 DeleteService('BDArKit');
 DeleteService('bd0004');
 DeleteService('bd0001');
 DeleteService('BDSGRTP');
 DeleteFileMask('C:\Program Files (x86)\Common Files\Baidu', '*', true, ' ');
 DeleteFileMask('C:\Program Files (x86)\baidu', '*', true, ' ');
 DeleteFileMask('C:\ProgramData\Baidu', '*', true, ' ');
 DeleteDirectory('C:\Program Files (x86)\Common Files\Baidu');     
 DeleteDirectory('C:\Program Files (x86)\baidu');     
 DeleteDirectory('C:\ProgramData\Baidu');     
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\7z.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\ad.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDKitUtils.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDLogicUtils.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDMNet.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDMReport.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\DriverManager.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\dynplugins\AssistReportPlugin.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\plugins\BaiduRepair.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\plugins\HIPS.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\SafeBrowserDll.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BaiduProtect.exe');
 BC_DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
 BC_DeleteFile('C:\Program Files (x86)\baidu\BindEx.exe');
 BC_DeleteSvc('BDSGRTP');
 BC_DeleteSvc('bd0001');
 BC_DeleteSvc('bd0004');
 BC_DeleteSvc('BDArKit');
 BC_DeleteSvc('BDSafeBrowser');        
BC_Activate;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
O2 - BHO: Візуальні закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)

 

 

Сделайте новые логи

 

• Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе

• Распакуйте архив с утилитой в отдельную папку

• Запустите checkbrowserlnk.exe

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log

• Прикрепите этот отчет в вашей теме.

 

Изменено 12 октября, 2014 пользователем mike 1

[Ramiro2005 0]

 

Здравствуйте! Что качали с левых сайтов и запускали перед тем как получили шифратора? 

Качал фильмы и пару игрушек. Сегодня начал удалять какие то "левые" приложения спид тест и что то с играми связано (ссылки) и началось ....

[mike 1 979]

 

 

Здравствуйте! Что качали с левых сайтов и запускали перед тем как получили шифратора? 

Качал фильмы и пару игрушек. Сегодня начал удалять какие то "левые" приложения спид тест и что то с играми связано (ссылки) и началось ....

 

Вот эта халява вам и обернулась боком. Выполняйте рекомендации из 2 сообщения.

[Ramiro2005 0]

Да, бесплатный сыр только в мышеловке....

 

Ответ на маил:

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

2dee1c7d761db7ee04fa1efa7006100a,
4003887847096e62bd824c090791f5b6,
48241b2d56e79607f86ee859c548fe50,
a965061e61d350082b19164426e46a80,
tiket.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

 

CollectionLog-2014.10.12-21.46.zip

CheckBrowserLnk.log

[Roman_Five 590]

приложите лог Combofix

http://safezone.cc/threads/combofix-rukovodstvo-po-primeneniju.2773/

[Ramiro2005 0]

приложите лог Combofix

http://safezone.cc/threads/combofix-rukovodstvo-po-primeneniju.2773/Лог

Лог

ComboFix.txt

[mike 1 979]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

KillAll::



File::

c:\windows\system32\drivers\BDArKit.sys

c:\windows\system32\bd64_x86.dll

c:\windows\system32\bd64_x64.dll

c:\windows\system32\drivers\bd0001.sys

c:\windows\system32\drivers\BDSafeBrowser.sys

c:\windows\system32\drivers\bd0004.sys

c:\windows\system32\drivers\bd0001_1.sys 

 

Driver::

BDSafeBrowser

bd0004

BDArKit

BDSGRTP

 

Folder::

c:\program files (x86)\Common Files\Baidu

 

Firefox::

FF - prefs.js: browser.startup.homepage - hxxp://1kanal.org/?src=hp1

 

Registry::

 

FileLook::

 

DirLook:: 

c:\users\Рома\AppData\Roaming\Browsers

 

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Изменено 12 октября, 2014 пользователем mike 1

[Ramiro2005 0]

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

есть

ComboFix.txt

[mike 1 979]

Running from: c:\users\¦юьр\Desktop\ComboFix.exe

Программу просили сохранить на диск С. Переделывайте. 

[Ramiro2005 0]

 

Running from: c:\users\¦юьр\Desktop\ComboFix.exe

Программу просили сохранить на диск С. Переделывайте. 

 

Какие именно действия повторить? Только новый отчет? Или предыдущий тоже?

[Roman_Five 590]

выполните скрипт для Combofix'a из 8-го сообщения, но скрипт Combofix'a должен быть не на рабочем столе, а в корне диска С

[Ramiro2005 0]

@mike 1,

 

Оба файла находятся на диске С:

ComboFix.txt

[Roman_Five 590]

зайдите через проводник в папку

c:\windows\system32\

и удалите файлы

"c:\windows\system32\bd64_x64.dll"
"c:\windows\system32\bd64_x86.dll"
"c:\windows\system32\drivers\bd0001.sys"
"c:\windows\system32\drivers\bd0001_1.sys"
"c:\windows\system32\drivers\bd0004.sys"
"c:\windows\system32\drivers\BDArKit.sys"
"c:\windows\system32\drivers\BDSafeBrowser.sys"

после этого приложите логи автологгера

[Ramiro2005 0]

@Roman_Five, Удалил.