Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

вирус заблокировал файлы AES256

pblcb
 Поделиться

Рекомендуемые сообщения

pblcb

pblcb

Опубликовано
Опубликовано

Здравствуйте, помогите пожалуйста, заблокировались файлы Exel, Word, фотографии. Проблема возникла после того как запустила появившийся на рабочем столе ярлык "Онлайн консультант". Заранее благодарна.

CollectionLog-2014.10.15-22.05.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\program files (x86)\baidu\bindex.exe');
 SetServiceStart('BAPIDRV', 4);
 SetServiceStart('WindowsMangerProtect', 4);
 SetServiceStart('Util ClearThink', 4);
 SetServiceStart('Update ClearThink', 4);
 QuarantineFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\uninst.exe','');
 QuarantineFile('C:\Users\Irina\AppData\Roaming\runWIN\update.exe','');
 QuarantineFile('C:\Users\Irina\AppData\Roaming\runWIN\Updates.exe','');
 QuarantineFile('C:\Users\Irina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
 QuarantineFile('C:\Users\Irina\AppData\Roaming\Identities\Mzemey.exe','');
 QuarantineFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','');
 QuarantineFile('C:\Program Files (x86)\baidu\BindEx.exe','');
 QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','');
 QuarantineFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','');
 QuarantineFile('C:\Program Files (x86)\ClearThink\updateClearThink.exe','');
 QuarantineFile('C:\Program Files (x86)\ClearThink\bin\utilClearThink.exe','');
 QuarantineFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','');
 QuarantineFile('C:\Program Files (x86)\SupTab\SupTab.dll','');
 QuarantineFile('C:\Program Files (x86)\ClearThink\ClearThinkbho.dll','');
 DeleteFile('C:\Program Files (x86)\SupTab\SupTab.dll','32');
 DeleteFile('C:\Program Files (x86)\ClearThink\ClearThinkbho.dll','32');
 DeleteFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','32');
 DeleteFile('C:\Program Files (x86)\ClearThink\bin\utilClearThink.exe','32');
 DeleteFile('C:\Program Files (x86)\ClearThink\updateClearThink.exe','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32');
 DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','32');
 DeleteFile('C:\Program Files (x86)\baidu\BindEx.exe','32');
 DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32');
 DeleteFile('C:\Users\Irina\AppData\Roaming\Identities\Mzemey.exe','32');
 DeleteFile('C:\Users\Irina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
 DeleteFile('C:\Users\Irina\AppData\Roaming\runWIN\Updates.exe','32');
 DeleteFile('C:\Users\Irina\AppData\Roaming\runWIN\update.exe','32');
 DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\uninst.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{34DB2CE1-4153-4559-A58A-47D8CE2A15DD}','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Mzemey');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');
 DeleteService('BAPIDRV');
 DeleteService('WindowsMangerProtect');
 DeleteService('Util ClearThink');
 DeleteService('Update ClearThink');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.
Отправьте на проверку файл  Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1410693519&from=cor&uid=HGSTXHTS541075A9E680_JA130912GN9HZMGN9HZMX
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://1kanal.org/?src=hp1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1410693519&from=cor&uid=HGSTXHTS541075A9E680_JA130912GN9HZMGN9HZMX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1410693519&from=cor&uid=HGSTXHTS541075A9E680_JA130912GN9HZMGN9HZMX&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1410693519&from=cor&uid=HGSTXHTS541075A9E680_JA130912GN9HZMGN9HZMX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1410693519&from=cor&uid=HGSTXHTS541075A9E680_JA130912GN9HZMGN9HZMX
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
O2 - BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\SupTab\SupTab.dll
O2 - BHO: ClearThink - {7e6d4e3e-fc66-4036-9799-ce5c625c4c56} - C:\Program Files (x86)\ClearThink\ClearThinkbho.dll
O4 - HKCU\..\Run: [Mzemey] C:\Users\Irina\AppData\Roaming\Identities\Mzemey.exe
O4 - HKCU\..\Run: [LoaderSystemWIN] C:\Users\Irina\AppData\Roaming\runWIN\Updates.exe
O4 - HKCU\..\Run: [RuningWIN32] C:\Users\Irina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe
O4 - HKCU\..\Run: [baidu] C:\Program Files (x86)\baidu\BindEx.exe
O4 - HKCU\..\Run: [NewLoadSystemWIN32] C:\Users\Irina\AppData\Roaming\runWIN\update.exe
O4 - Startup: runWIN.exe
 
Сделайте новые логи по правилам.
 
+
 
Скачайте ComboFix здесь или здесь и сохраните на рабочий стол. 
 
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exe
 
 

 

кажите id и hashkey из сообщения.

Ссылка на комментарий
Поделиться на другие сайты
pblcb

pblcb

Опубликовано
  • Автор
Опубликовано
HashKey: 525010117dd2f4acdef0b7bd6418b60d
ID: 30653

дополнение 


У меня Win 8. Я так понимаю что ComboFix под него не запускается.

AdwCleanerS0.txt

FixerBro.zip

FixerBro.txt

CollectionLog-2014.10.17-10.09.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

 

 


У меня Win 8. Я так понимаю что ComboFix под него не запускается
Если 8.1, тогда не запускается

 

Логи автосборщика почему не все?

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJack

O2 - BHO: ClearThink - {7e6d4e3e-fc66-4036-9799-ce5c625c4c56} - C:\Program Files (x86)\ClearThink\ClearThinkbho.dll (file missing)

Удалите папки

C:\Users\Irina\AppData\Roaming\tor
C:\Users\Irina\AppData\Roaming\Microsoft DB
C:\Users\Irina\AppData\Roaming\GemWare
C:\Users\Irina\AppData\Roaming\runWIN
C:\Users\Irina\AppData\Roaming\Tor Project
C:\Users\Irina\AppData\Roaming\ICL
C:\ProgramData\360Quarant
C:\$360Section
C:\Program Files (x86)\ClearThink
C:\Program Files (x86)\360

 

 

Для расшифровки пробуйте http://support.kaspersky.ru/viruses/disinfection/10556

Ссылка на комментарий
Поделиться на другие сайты
pblcb

pblcb

Опубликовано
  • Автор
Опубликовано

Хочу выразить огромную благодарность, ей просто нет предела!!!!! 

Благодаря подробному описанию всех действий, все получилось, файлы восстановлены.

 

СПАСИБО!

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • godstar
      updater.exe файл-вирус, также майнер
      Автор godstar
      После установки винды где то в начале года я поставил кмс авто для активации винды. Позже я начался пользоваться авторансом что бы убирать с автозапуска все ненужные мне программы. И я заметил во вкладке сервисах сервис гугла(я гуглом не пользуюсь, хромом тем более. онли майкрософт edge) фото я прикреплю. и дело в том что его отключаешь, а он обратно включается. я просто не замечал этого и каждый раз отключал его. Сейчас руки дошли и я все таки решил чекнуть что за файл. Он находится в ProgramData\Google\Chrome и там этот файл updater.exe. Я удалял файл, удалял эту папку, но через пару секунд она возвращалась. Закинул этот файл на вирустотал, а там 56 из 72 показатель. Я увидел там и надписи про майнеры, и трояны... Позже я нашел уже такое же обсуждение на эту же тему но она мне никак не помогла. Позже я полез в диспетчер задач и в монитор ресурсов и когда я удаляю папку то через пару секунд запускается powershell вместе с comhost. В общем и целом мне нужна ваша помощь удалить этот вирус. Все фотографии я прикрепил: 
    • orbita06
      вирус зашифровал файлы
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
    • zsvnet
      файлы зашифрованы вирусом
      Автор zsvnet
      obrazec.zipAddition.txtShortcut.txtFRST.txtДобрый день! Зашифровали файлы.
      Скорее всего проникли через RDP. Исходный ПК неработоспособен. Диск подключен к другому ПК и на нем запускали FRST.
    • sloda53
      Вирус или вредоносное ПО повредило все старые файлы MS Office (docx, xlsx)
      Автор sloda53
      Добрый день!
      Столкнулся с каким-то вредоносным ПО, которое повредило все мои старые файлы с расширением .docx и .xlsx.(новый созданный файл работает) При попытке открытия файлов word, excel выдаёт сообщение "приложением excel в документе обнаружено содержимое которое не удалось прочитать ошибка. Доверяете ли вы источнику? " Если я нажимаю "Да" - файлы не открываются, выводится сообщение об ошибке открытия либо то, что файл повреждён и не подходит расширение.
       
      После установил лицензии Kaspersky Premium.
      Сделал полную диагностику и он удалили какие то вирус, но файлы не открываются.
      Прикрепляю отчет из касперского, пару файлов и скрин ошибки.
      Спасибо.
       
      10-06-2025_14-31-35.zip
    • farguskz
      вирус
      Автор farguskz
      приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо
      систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок
      virus.zip Addition.txt Shortcut.txt FRST.txt
×
×
  • Создать...