вирус заблокировал файлы AES256

[pblcb]

Здравствуйте, помогите пожалуйста, заблокировались файлы Exel, Word, фотографии. Проблема возникла после того как запустила появившийся на рабочем столе ярлык "Онлайн консультант". Заранее благодарна.

CollectionLog-2014.10.15-22.05.zip

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\program files (x86)\baidu\bindex.exe');
 SetServiceStart('BAPIDRV', 4);
 SetServiceStart('WindowsMangerProtect', 4);
 SetServiceStart('Util ClearThink', 4);
 SetServiceStart('Update ClearThink', 4);
 QuarantineFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\uninst.exe','');
 QuarantineFile('C:\Users\Irina\AppData\Roaming\runWIN\update.exe','');
 QuarantineFile('C:\Users\Irina\AppData\Roaming\runWIN\Updates.exe','');
 QuarantineFile('C:\Users\Irina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
 QuarantineFile('C:\Users\Irina\AppData\Roaming\Identities\Mzemey.exe','');
 QuarantineFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','');
 QuarantineFile('C:\Program Files (x86)\baidu\BindEx.exe','');
 QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','');
 QuarantineFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','');
 QuarantineFile('C:\Program Files (x86)\ClearThink\updateClearThink.exe','');
 QuarantineFile('C:\Program Files (x86)\ClearThink\bin\utilClearThink.exe','');
 QuarantineFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','');
 QuarantineFile('C:\Program Files (x86)\SupTab\SupTab.dll','');
 QuarantineFile('C:\Program Files (x86)\ClearThink\ClearThinkbho.dll','');
 DeleteFile('C:\Program Files (x86)\SupTab\SupTab.dll','32');
 DeleteFile('C:\Program Files (x86)\ClearThink\ClearThinkbho.dll','32');
 DeleteFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','32');
 DeleteFile('C:\Program Files (x86)\ClearThink\bin\utilClearThink.exe','32');
 DeleteFile('C:\Program Files (x86)\ClearThink\updateClearThink.exe','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32');
 DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','32');
 DeleteFile('C:\Program Files (x86)\baidu\BindEx.exe','32');
 DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32');
 DeleteFile('C:\Users\Irina\AppData\Roaming\Identities\Mzemey.exe','32');
 DeleteFile('C:\Users\Irina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
 DeleteFile('C:\Users\Irina\AppData\Roaming\runWIN\Updates.exe','32');
 DeleteFile('C:\Users\Irina\AppData\Roaming\runWIN\update.exe','32');
 DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\uninst.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{34DB2CE1-4153-4559-A58A-47D8CE2A15DD}','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Mzemey');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');
 DeleteService('BAPIDRV');
 DeleteService('WindowsMangerProtect');
 DeleteService('Util ClearThink');
 DeleteService('Update ClearThink');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл  Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1410693519&from=cor&uid=HGSTXHTS541075A9E680_JA130912GN9HZMGN9HZMX
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://1kanal.org/?src=hp1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1410693519&from=cor&uid=HGSTXHTS541075A9E680_JA130912GN9HZMGN9HZMX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1410693519&from=cor&uid=HGSTXHTS541075A9E680_JA130912GN9HZMGN9HZMX&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1410693519&from=cor&uid=HGSTXHTS541075A9E680_JA130912GN9HZMGN9HZMX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1410693519&from=cor&uid=HGSTXHTS541075A9E680_JA130912GN9HZMGN9HZMX
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
O2 - BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\SupTab\SupTab.dll
O2 - BHO: ClearThink - {7e6d4e3e-fc66-4036-9799-ce5c625c4c56} - C:\Program Files (x86)\ClearThink\ClearThinkbho.dll
O4 - HKCU\..\Run: [Mzemey] C:\Users\Irina\AppData\Roaming\Identities\Mzemey.exe
O4 - HKCU\..\Run: [LoaderSystemWIN] C:\Users\Irina\AppData\Roaming\runWIN\Updates.exe
O4 - HKCU\..\Run: [RuningWIN32] C:\Users\Irina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe
O4 - HKCU\..\Run: [baidu] C:\Program Files (x86)\baidu\BindEx.exe
O4 - HKCU\..\Run: [NewLoadSystemWIN32] C:\Users\Irina\AppData\Roaming\runWIN\update.exe
O4 - Startup: runWIN.exe

 

Сделайте новые логи по правилам.

 

+

логи Fixer Bro и AdwCleaner 
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647404

 

+ 

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол. 

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exe

 

 

 

кажите id и hashkey из сообщения.

[pblcb]

HashKey: 525010117dd2f4acdef0b7bd6418b60d

ID: 30653

дополнение 

У меня Win 8. Я так понимаю что ComboFix под него не запускается.

AdwCleanerS0.txt

FixerBro.zip

FixerBro.txt

CollectionLog-2014.10.17-10.09.zip

[thyrex]

 

 

У меня Win 8. Я так понимаю что ComboFix под него не запускается

Если 8.1, тогда не запускается

 

Логи автосборщика почему не все?

[pblcb]

Сделала все по инструкции, что нужно переделать?

[Mark D. Pearlstone]

pblcb
Переделайте CollectionLog

[pblcb]

вот новенький

CollectionLog-2014.10.18-12.27.zip

[thyrex]

Пофиксите в HiJack

O2 - BHO: ClearThink - {7e6d4e3e-fc66-4036-9799-ce5c625c4c56} - C:\Program Files (x86)\ClearThink\ClearThinkbho.dll (file missing)

Удалите папки

C:\Users\Irina\AppData\Roaming\tor

C:\Users\Irina\AppData\Roaming\Microsoft DB

C:\Users\Irina\AppData\Roaming\GemWare

C:\Users\Irina\AppData\Roaming\runWIN

C:\Users\Irina\AppData\Roaming\Tor Project

C:\Users\Irina\AppData\Roaming\ICL

C:\ProgramData\360Quarant

C:\$360Section

C:\Program Files (x86)\ClearThink

C:\Program Files (x86)\360

 

 

Для расшифровки пробуйте http://support.kaspersky.ru/viruses/disinfection/10556

[pblcb]

Хочу выразить огромную благодарность, ей просто нет предела!!!!! 

Благодаря подробному описанию всех действий, все получилось, файлы восстановлены.

 

СПАСИБО!

[mike 1]

Сделайте для контроля новые логи Автологгером.