reganer Опубликовано 15 октября, 2014 Share Опубликовано 15 октября, 2014 Добрый день! Поменяли расширение музыка, фото, картинки, текстовые документы, на расширение AES256. Помогите разблокировать их. Спасибо! В папке C:\Users\asus\AppData\Roaming\Mail.RU NewGamesT есть файл "tiket.exe" к которому ведет ссылка "онлайн консультант" CollectionLog-2014.10.15-18.00.zip ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.7z tiket.7z Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 15 октября, 2014 Share Опубликовано 15 октября, 2014 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; QuarantineFile('C:\Users\asus\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Users\asus\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Users\asus\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Users\asus\AppData\Roaming\Bonanza\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Users\asus\AppData\Roaming\runWIN\Update.exe',''); QuarantineFile('C:\Users\asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe',''); QuarantineFile('C:\Users\asus\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe',''); QuarantineFile('C:\Users\asus\AppData\Local\Google\Chrome\Application\chrome.exe.bat',''); QuarantineFile('C:\Program Files (x86)\Opera\opera.exe.bat',''); QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat',''); QuarantineFile('C:\Program Files (x86)\Whilokii\Whilokiibho.dll',''); SetServiceStart('F06DEFF2-5B9C-490D-910F-35D3A9119622', 4); SetServiceStart('DatamngrCoordinator', 4); StopService('F06DEFF2-5B9C-490D-910F-35D3A9119622'); QuarantineFile('C:\Users\asus\AppData\Local\iLivid\iLivid.exe',''); QuarantineFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\apcrtldr.dll',''); QuarantineFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\apcrtldr.dll',''); QuarantineFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\setmgrc1.cfg',''); QuarantineFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\DatamngrCoordinator.exe',''); DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\DatamngrCoordinator.exe','32'); DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\setmgrc1.cfg','32'); DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\apcrtldr.dll','32'); DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\apcrtldr.dll','32'); DeleteFile('C:\Users\asus\AppData\Local\iLivid\iLivid.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x86'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','iLivid'); DeleteService('F06DEFF2-5B9C-490D-910F-35D3A9119622'); DeleteService('DatamngrCoordinator'); DeleteFile('C:\Program Files (x86)\Whilokii\Whilokiibho.dll','32'); DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','32'); DeleteFile('C:\Program Files (x86)\Opera\opera.exe.bat','32'); DeleteFile('C:\Users\asus\AppData\Local\Google\Chrome\Application\chrome.exe.bat','32'); DeleteFile('C:\Users\asus\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32'); DeleteFile('C:\Users\asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32'); DeleteFile('C:\Users\asus\AppData\Roaming\runWIN\update.exe','32'); DeleteFile('C:\WINDOWS\Tasks\Bonanza.job','64'); DeleteFile('C:\Users\asus\AppData\Roaming\Bonanza\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Users\asus\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\WINDOWS\Tasks\Digital Sites.job','64'); DeleteFile('C:\WINDOWS\Tasks\DigitalSite.job','64'); DeleteFile('C:\WINDOWS\Tasks\Update Bonanza.job','64'); DeleteFile('C:\Users\asus\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Users\asus\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\WINDOWS\system32\Tasks\Bonanza','64'); DeleteFile('C:\WINDOWS\system32\Tasks\Digital Sites','64'); DeleteFile('C:\WINDOWS\system32\Tasks\DigitalSite','64'); DeleteFile('C:\WINDOWS\system32\Tasks\Update Bonanza','64'); DelBHO('204df522-9a96-4a72-abb0-60f7a216d6d2'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://2ke.ru/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ff5b427a08b3c594a3912e8fbd31063b&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ff5b427a08b3c594a3912e8fbd31063b&text={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ff5b427a08b3c594a3912e8fbd31063b&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ff5b427a08b3c594a3912e8fbd31063b&text= R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file) O2 - BHO: Whilokii - {204df522-9a96-4a72-abb0-60f7a216d6d2} - C:\Program Files (x86)\Whilokii\Whilokiibho.dll O4 - HKLM\..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe O4 - HKCU\..\Run: [iLivid] "C:\Users\asus\AppData\Local\iLivid\iLivid.exe" -autorun O4 - HKCU\..\Run: [LoaderSystemWIN] C:\Users\asus\AppData\Roaming\runWIN\Update.exe O4 - HKCU\..\Run: [RuningWIN32] C:\Users\asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe O4 - HKCU\..\Run: [NewLoadSystemWIN32] C:\Users\asus\AppData\Roaming\runWIN\update.exe O4 - HKCU\..\Run: [Encrypt] C:\Users\asus\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ff5b427a08b3c594a3912e8fbd31063b&text= Удалите папки: 2014-10-06 13:10:18 ----HD---- C:\Users\asus\AppData\Roaming\Mail.RU NewGamesT 2014-10-06 00:46:55 ----D---- C:\Users\asus\AppData\Roaming\tor 2014-10-06 00:46:50 ----D---- C:\Users\asus\AppData\Roaming\Microsoft DB 2014-10-06 00:09:02 ----D---- C:\Users\asus\AppData\Roaming\GemWare 2014-10-06 00:08:41 ----D---- C:\Users\asus\AppData\Roaming\Tor Project 2014-10-06 00:03:04 ----D---- C:\Users\asus\AppData\Roaming\ICL Сделайте новые логи по правилам. + лог AdwCleaner http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 16 октября, 2014 Share Опубликовано 16 октября, 2014 Внимание! Данный дешифратор предназначен только для пользователя reganer Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов. Дешифратор Принцип работы с дешифратором: 1. Сохраните дешифратор в отдельную созданную папку. 2. Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора. key.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
reganer Опубликовано 16 октября, 2014 Автор Share Опубликовано 16 октября, 2014 Большое спасибо за декодер! Новые логи. CollectionLog-2014.10.16-15.47.zip AdwCleanerR0.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 16 октября, 2014 Share Опубликовано 16 октября, 2014 удалите всё найденное в AdwCleaner (можете оставить Mail.ru) http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160 новый лог приложите. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; QuarantineFile('C:\Users\asus\AppData\Roaming\0D0S1L2Z1P1B0T1P1B2Z\*',''); QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe',''); QuarantineFile('C:\Program Files (x86)\HD-V2.2V16.10\*',''); QuarantineFile('C:\Users\asus\AppData\Local\30439\Updater.exe',''); QuarantineFile('C:\Users\asus\AppData\Roaming\CSTEG.exe',''); QuarantineFile('C:\Users\asus\AppData\Roaming\GCZTL.exe',''); DeleteFileMask('C:\Program Files (x86)\HD-V2.2V16.10\','*', true, ''); DeleteDirectory('C:\Program Files (x86)\HD-V2.2V16.10\ ',' '); DeleteFile('C:\WINDOWS\Tasks\900b1cac-2fe6-4c4f-b0e7-43573115d7b1-1.job','64'); DeleteFile('C:\WINDOWS\Tasks\900b1cac-2fe6-4c4f-b0e7-43573115d7b1-11.job','64'); DeleteFile('C:\WINDOWS\Tasks\900b1cac-2fe6-4c4f-b0e7-43573115d7b1-2.job','64'); DeleteFile('C:\WINDOWS\Tasks\900b1cac-2fe6-4c4f-b0e7-43573115d7b1-3.job','64'); DeleteFile('C:\WINDOWS\Tasks\900b1cac-2fe6-4c4f-b0e7-43573115d7b1-4.job','64'); DeleteFile('C:\WINDOWS\Tasks\900b1cac-2fe6-4c4f-b0e7-43573115d7b1-5.job','64'); DeleteFile('C:\WINDOWS\Tasks\900b1cac-2fe6-4c4f-b0e7-43573115d7b1-5_user.job','64'); DeleteFile('C:\WINDOWS\Tasks\900b1cac-2fe6-4c4f-b0e7-43573115d7b1-6.job','64'); DeleteFile('C:\WINDOWS\Tasks\900b1cac-2fe6-4c4f-b0e7-43573115d7b1-7.job','64'); DeleteFile('C:\WINDOWS\Tasks\AmiUpdXp.job','64'); DeleteFile('C:\WINDOWS\Tasks\CSTEG.job','64'); DeleteFile('C:\WINDOWS\Tasks\GCZTL.job','64'); DeleteFile('C:\Users\asus\AppData\Roaming\GCZTL.exe','32'); DeleteFile('C:\Users\asus\AppData\Roaming\CSTEG.exe','32'); DeleteFile('C:\Users\asus\AppData\Local\30439\Updater.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\900b1cac-2fe6-4c4f-b0e7-43573115d7b1-1','64'); DeleteFile('C:\WINDOWS\system32\Tasks\900b1cac-2fe6-4c4f-b0e7-43573115d7b1-11','64'); DeleteFile('C:\WINDOWS\system32\Tasks\900b1cac-2fe6-4c4f-b0e7-43573115d7b1-2','64'); DeleteFile('C:\WINDOWS\system32\Tasks\900b1cac-2fe6-4c4f-b0e7-43573115d7b1-3','64'); DeleteFile('C:\WINDOWS\system32\Tasks\900b1cac-2fe6-4c4f-b0e7-43573115d7b1-4','64'); DeleteFile('C:\WINDOWS\system32\Tasks\900b1cac-2fe6-4c4f-b0e7-43573115d7b1-5','64'); DeleteFile('C:\WINDOWS\system32\Tasks\900b1cac-2fe6-4c4f-b0e7-43573115d7b1-5_user','64'); DeleteFile('C:\WINDOWS\system32\Tasks\900b1cac-2fe6-4c4f-b0e7-43573115d7b1-7','64'); DeleteFile('C:\WINDOWS\system32\Tasks\900b1cac-2fe6-4c4f-b0e7-43573115d7b1-6','64'); DeleteFile('C:\WINDOWS\system32\Tasks\AmiUpdXp','64'); DeleteFile('C:\WINDOWS\system32\Tasks\chrome5','64'); DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\CSTEG','64'); DeleteFile('C:\WINDOWS\system32\Tasks\GCZTL','64'); DeleteFile('C:\WINDOWS\system32\Tasks\{B703D53B-86A2-4C2E-835B-FB75B9B3FCC0}','64'); DeleteFileMask('C:\Users\asus\AppData\Roaming\0D0S1L2Z1P1B0T1P1B2Z\','*', true, ''); DeleteDirectory('C:\Users\asus\AppData\Roaming\0D0S1L2Z1P1B0T1P1B2Z\',' '); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); ExecuteRepair(9); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Сделайте новые логи по правилам. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти