Проблема с вирусом шифровальщиком AES256

[Arturko]

Принесли ноутбук с этой проблемой, я обезвредил вирус, но нужно восстановить файлы которые он зашифровал  

Спасибо за помощь!

CollectionLog-2014.10.15-09.13.zip

[Roman_Five]

удалите папки

C:\Documents and Settings\User\Application Data\Mail.RU NewGamesT
2014-09-30 06:55:00 ----D---- C:\Documents and Settings\User\Application Data\tor
2014-09-30 06:54:53 ----D---- C:\Documents and Settings\User\Application Data\Microsoft DB
2014-09-29 20:53:22 ----D---- C:\Documents and Settings\User\Application Data\GemWare
2014-09-29 20:51:24 ----D---- C:\Documents and Settings\User\Application Data\Tor Project
2014-09-29 20:51:09 ----D---- C:\Documents and Settings\User\Application Data\ICL

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\Program Files\Opera\launcher.exe.bat','');
 QuarantineFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','');
 QuarantineFile('C:\Program Files\Google\Chrome\Application\chrome.exe.bat','');
 DeleteFile('C:\Program Files\Google\Chrome\Application\chrome.exe.bat','32');
 DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32');
 DeleteFile('C:\Program Files\Opera\launcher.exe.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл  Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://1kanal.org/?src=hp1

 

Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить

>> Таймаут завершения процессов находится за пределами допустимых значений
>> Таймаут завершения служб находится за пределами допустимых значений
>> Обнаружены опасные расширения в списке типов файлов, не представляющих угрозы

 

Сделайте новые логи по правилам.

 

Приложите лог FixerBro

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647404

[mike 1]

+ Напишите ваш id и hashkey до 17 октября. 

[Arturko]

а какой пароль на архив? после скрипта

"begin

CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');

end."

[mike 1]

 

 

а какой пароль на архив?

virus

[Arturko]

Ок спасибо!

но я не имею активационного ключа от продуктов Касперского 

[Roman_Five]

 

 

но я не имею активационного ключа от продуктов Касперского 

попробуйте создать Kaspersky Account

https://my.kaspersky.com/?logonSessionData=MyAccount&returnUrl=ru

[Arturko]

Я создал и отправил

[Roman_Five]

 

 

Сделайте новые логи по правилам.   Приложите лог FixerBro http://forum.kaspers...611?do=findComment&comment=647404

[Arturko]

Ето прислали мне с Лаборатории Касперского

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

 

chrome.exe.bat,

iexplore.exe.bat,

launcher.exe.bat

 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

С уважением, Лаборатория Касперского

 

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

сделал лог AutoLogger

и

FixerBro

 

CollectionLog-2014.10.15-14.38.zip

FixerBro_20141015.txt

[Roman_Five]

какие расширения, кроме Avasta, Download master, google wallet и mail.ru, стоят в Хроме?

[Arturko]

больше никаких

[Roman_Five]

приложите ID и HashKey из сообщения злоумышленника.
есть шанс расшифровать файлы

[mike 1]

Напишите ваш id и hashkey

[Arturko]

что ето такое и где его взять?