Перейти к содержанию

вирус заблокировал файлы AES256

pblcb
 Поделиться

Рекомендуемые сообщения

pblcb Новичок

pblcb

Опубликовано
Опубликовано

Здравствуйте, помогите пожалуйста, заблокировались файлы Exel, Word, фотографии. Проблема возникла после того как запустила появившийся на рабочем столе ярлык "Онлайн консультант". Заранее благодарна.

CollectionLog-2014.10.15-22.05.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\program files (x86)\baidu\bindex.exe');
 SetServiceStart('BAPIDRV', 4);
 SetServiceStart('WindowsMangerProtect', 4);
 SetServiceStart('Util ClearThink', 4);
 SetServiceStart('Update ClearThink', 4);
 QuarantineFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\uninst.exe','');
 QuarantineFile('C:\Users\Irina\AppData\Roaming\runWIN\update.exe','');
 QuarantineFile('C:\Users\Irina\AppData\Roaming\runWIN\Updates.exe','');
 QuarantineFile('C:\Users\Irina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
 QuarantineFile('C:\Users\Irina\AppData\Roaming\Identities\Mzemey.exe','');
 QuarantineFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','');
 QuarantineFile('C:\Program Files (x86)\baidu\BindEx.exe','');
 QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','');
 QuarantineFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','');
 QuarantineFile('C:\Program Files (x86)\ClearThink\updateClearThink.exe','');
 QuarantineFile('C:\Program Files (x86)\ClearThink\bin\utilClearThink.exe','');
 QuarantineFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','');
 QuarantineFile('C:\Program Files (x86)\SupTab\SupTab.dll','');
 QuarantineFile('C:\Program Files (x86)\ClearThink\ClearThinkbho.dll','');
 DeleteFile('C:\Program Files (x86)\SupTab\SupTab.dll','32');
 DeleteFile('C:\Program Files (x86)\ClearThink\ClearThinkbho.dll','32');
 DeleteFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','32');
 DeleteFile('C:\Program Files (x86)\ClearThink\bin\utilClearThink.exe','32');
 DeleteFile('C:\Program Files (x86)\ClearThink\updateClearThink.exe','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32');
 DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','32');
 DeleteFile('C:\Program Files (x86)\baidu\BindEx.exe','32');
 DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32');
 DeleteFile('C:\Users\Irina\AppData\Roaming\Identities\Mzemey.exe','32');
 DeleteFile('C:\Users\Irina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
 DeleteFile('C:\Users\Irina\AppData\Roaming\runWIN\Updates.exe','32');
 DeleteFile('C:\Users\Irina\AppData\Roaming\runWIN\update.exe','32');
 DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\uninst.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{34DB2CE1-4153-4559-A58A-47D8CE2A15DD}','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Mzemey');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');
 DeleteService('BAPIDRV');
 DeleteService('WindowsMangerProtect');
 DeleteService('Util ClearThink');
 DeleteService('Update ClearThink');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.
Отправьте на проверку файл  Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1410693519&from=cor&uid=HGSTXHTS541075A9E680_JA130912GN9HZMGN9HZMX
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://1kanal.org/?src=hp1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1410693519&from=cor&uid=HGSTXHTS541075A9E680_JA130912GN9HZMGN9HZMX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1410693519&from=cor&uid=HGSTXHTS541075A9E680_JA130912GN9HZMGN9HZMX&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1410693519&from=cor&uid=HGSTXHTS541075A9E680_JA130912GN9HZMGN9HZMX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1410693519&from=cor&uid=HGSTXHTS541075A9E680_JA130912GN9HZMGN9HZMX
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
O2 - BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\SupTab\SupTab.dll
O2 - BHO: ClearThink - {7e6d4e3e-fc66-4036-9799-ce5c625c4c56} - C:\Program Files (x86)\ClearThink\ClearThinkbho.dll
O4 - HKCU\..\Run: [Mzemey] C:\Users\Irina\AppData\Roaming\Identities\Mzemey.exe
O4 - HKCU\..\Run: [LoaderSystemWIN] C:\Users\Irina\AppData\Roaming\runWIN\Updates.exe
O4 - HKCU\..\Run: [RuningWIN32] C:\Users\Irina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe
O4 - HKCU\..\Run: [baidu] C:\Program Files (x86)\baidu\BindEx.exe
O4 - HKCU\..\Run: [NewLoadSystemWIN32] C:\Users\Irina\AppData\Roaming\runWIN\update.exe
O4 - Startup: runWIN.exe
 
Сделайте новые логи по правилам.
 
+
 
Скачайте ComboFix здесь или здесь и сохраните на рабочий стол. 
 
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exe
 
 

 

кажите id и hashkey из сообщения.

Ссылка на комментарий
Поделиться на другие сайты
pblcb Новичок

pblcb

Опубликовано
  • Автор
Опубликовано
HashKey: 525010117dd2f4acdef0b7bd6418b60d
ID: 30653

дополнение 


У меня Win 8. Я так понимаю что ComboFix под него не запускается.

AdwCleanerS0.txt

FixerBro.zip

FixerBro.txt

CollectionLog-2014.10.17-10.09.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

 

 


У меня Win 8. Я так понимаю что ComboFix под него не запускается
Если 8.1, тогда не запускается

 

Логи автосборщика почему не все?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJack

O2 - BHO: ClearThink - {7e6d4e3e-fc66-4036-9799-ce5c625c4c56} - C:\Program Files (x86)\ClearThink\ClearThinkbho.dll (file missing)

Удалите папки

C:\Users\Irina\AppData\Roaming\tor
C:\Users\Irina\AppData\Roaming\Microsoft DB
C:\Users\Irina\AppData\Roaming\GemWare
C:\Users\Irina\AppData\Roaming\runWIN
C:\Users\Irina\AppData\Roaming\Tor Project
C:\Users\Irina\AppData\Roaming\ICL
C:\ProgramData\360Quarant
C:\$360Section
C:\Program Files (x86)\ClearThink
C:\Program Files (x86)\360

 

 

Для расшифровки пробуйте http://support.kaspersky.ru/viruses/disinfection/10556

Ссылка на комментарий
Поделиться на другие сайты
pblcb Новичок

pblcb

Опубликовано
  • Автор
Опубликовано

Хочу выразить огромную благодарность, ей просто нет предела!!!!! 

Благодаря подробному описанию всех действий, все получилось, файлы восстановлены.

 

СПАСИБО!

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • вася1525
      вирус жрёт файлы. ×
      Автор вася1525
      virusinfo_syscheck.zip
    • khortys
      Заблокировали файлы и диск на сервере.
      Автор khortys
      Добрый день! Меня взломали, заблокировали файлы и теперь вымогают деньги, оставили почту. Пришел сюда потому что не знаю что делать.
      К сожалению самого файл шифровальщика найти не удалось.
      Прикрепляю логи (server1.zip), пару зашифрованных файлов и письмо вымогателей (temp.zip).
      server1.zip temp.zip
    • Максим1985
      Вирус повредил все файлы docx, xlsx
      Автор Максим1985
      Добрый день!
      Столкнулся с каким-то вредоносным ПО, которое повредило все файлы с расширением .docx и .xlsx созданные до 28.03.2025. При попытке открытия файлов MS Office выдаёт сообщение "приложением word в документе обнаружено содержимое которое не удалось прочитать ошибка. Доверяете ли вы источнику? " Если я нажимаю "Да" - файлы не открываются, выводится сообщение об ошибке открытия либо то, что файл повреждён.
      Сканировал Kaspersky Virus Removal Tool и Dr.Web CureIt, вирусов не нашел.
      Действий по вымогательству (если это шифровальщик) не было.
      Логи прикрепляю.
      Была уже похожая тема (
      ), но все же может получится исправить.
      CollectionLog-2025.04.02-10.58.zip Телефон аварийная ситуация.docx Ведомость электропотребления 2025г (1).xlsx
    • CreativeArch
      Вирус шифровальщик, можно ли восстановить файлы?
      Автор CreativeArch
      Log.7z
    • CHEAX
      [РЕШЕНО] Два файла dwm.exe, один из которых вирус.
      Автор CHEAX
      Один из файлов грузит систему, ни один антивирус поймать не может, в том числе Касперский Премиум. На данном форуме видел подобные темы, uVS скачан. Просьба помочь в решении вопроса.

×
×
  • Создать...