файлы зашифрованы AES256

[vzep]

Добрый день! 

Все файлы зашифрованы AES256. Помогите пожалуйста расшифровать.

CollectionLog-2014.10.16-00.08.zip

[mike 1]

id и hashkey пока напишите. Логи завтра посмотрю если время будет. 

[vzep]

HashKey: 28a1514391d01e564fca45574b9aa164

ID: 15181

Заранее благодарен!

[mike 1]

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFileF('%USERPROFILE%\appdata\roaming\Mail.RU NewGamesT', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\runWIN', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\ICL', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\GemWare', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\Microsoft DB', '*', true, ' ', 0, 0);
 QuarantineFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
 QuarantineFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Главное меню\Программы\Автозагрузка\runWIN.exe','');
 DeleteFile('%USERPROFILE%\AppData\Roaming\runWIN\Update.exe','32');
 DeleteFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Главное меню\Программы\Автозагрузка\runWIN.exe','32');
 DeleteFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');     
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');   
 DeleteFileMask('%USERPROFILE%\appdata\roaming\Mail.RU NewGamesT', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\runWIN', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\ICL', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\GemWare', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\Microsoft DB', '*', true, ' ');
 DeleteDirectory('%USERPROFILE%\appdata\roaming\Mail.RU NewGamesT');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\runWIN');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\ICL');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\GemWare');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\Microsoft DB');
 QuarantineFile('D:\WINDOWS\system32\DRIVERS\BAPIDRV.sys','');
 DeleteFile('D:\WINDOWS\system32\DRIVERS\BAPIDRV.sys','32');
 DeleteFile('D:\Program Files\Mobogenie\Mobogenie.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64');
 DeleteService('BAPIDRV');
 DeleteFileMask('D:\Documents and Settings\Администратор\Application Data\Browsers', '*', true, ' ');
 DeleteFileMask('D:\Documents and Settings\Администратор\Application Data\cload2', '*', true, ' ');
 DeleteFileMask('D:\Program Files\Twilight Tech', '*', true, ' ');
 DeleteDirectory('D:\Documents and Settings\Администратор\Application Data\cload2');     
 DeleteDirectory('D:\Program Files\Twilight Tech');     
 DeleteDirectory('D:\Documents and Settings\Администратор\Application Data\Browsers');     
BC_ImportAll;
ExecuteSysClean;              
BC_Activate;
 ExecuteRepair(16);
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net/?im
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dts.search.ask.com/sidebar.html?src=ssb&gct=ds&appid=362&systemid=406
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?win=145&clid=1985535
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://dts.search.ask.com/sidebar.html?src=ssb&gct=ds&appid=362&systemid=406
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://dts.search.ask.com/sidebar.html?src=ssb&gct=ds&appid=362&systemid=406
F2 - REG:system.ini: Shell=
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - HKCU\..\Run: [LoaderSystemWIN] D:\Documents and Settings\Администратор\Application Data\runWIN\Update.exe
O4 - HKCU\..\Run: [RuningWIN32] D:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\runWIN.exe
O4 - HKCU\..\Run: [NewLoadSystemWIN32] D:\Documents and Settings\Администратор\Application Data\runWIN\update.exe
O24 - Desktop Component 0: (no name) - (no file)

 

 

Сделайте новые логи

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

• Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе

• Распакуйте архив с утилитой в отдельную папку

• Запустите FixerBro

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В главном окне программы нажмите на кнопку "Проверить"

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)

• По окончанию сканирования нажмите на кнопку "Отчет".

• Сохраните лог утилиты

• Прикрепите сохраненный отчет в вашей теме.

 

 

[vzep]

 

 

FixerBro_20141016.txt

hijackthis.log

AdwCleanerR0.txt

CollectionLog-2014.10.16-11.29.zip

[mike 1]

1. Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

 

 

2.

• Запустите повторно FixerBro by glax24.
  

  Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

  
  
  

• Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив следующих строк и нажмите на кнопку Исправить. Дождитесь окончания удаления.
  

 

D:\Documents and Settings\Администратор\Главное меню\Программы\Internet Explorer.lnk [D:\Program Files\Internet Explorer\iexplore.bat]

D:\Documents and Settings\All Users\Главное меню\Программы\Mozilla Firefox.lnk [D:\Program Files\Mozilla Firefox\firefox.bat]

D:\Documents and Settings\All Users\Главное меню\Программы\Opera.lnk [D:\Program Files\Opera\launcher.bat]

D:\Documents and Settings\All Users\Главное меню\Программы\Google Chrome\Google Chrome.lnk [D:\Program Files\Google\Chrome\chrome.bat]

 

• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt).
  

• По окончанию удаления нажмите на кнопку "Отчет"
  

• Сохраните лог утилиты
  

• Прикрепите сохраненный отчет в вашей теме.
  

 

 

3.

• Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
  

• Распакуйте архив с утилитой в отдельную папку
  

• Запустите sitlog.exe
  

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

  
  
  

• В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
  

• По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
  

• Прикрепите эти отчеты в вашей теме.
  

 

[Roman_Five]

++

 

Внимание! Данный дешифратор предназначен только для пользователя vzep

Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется
 
Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов.
 
Дешифратор
 
Принцип работы с дешифратором:
 
1. Сохраните дешифратор в отдельную созданную папку. 
 
2. Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора.

key.zip

[vzep]

Дешифратор не становится. Написано "Decrypt - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства"

AdwCleanerR0.txt

FixerBro_20141016.txt

SITLog.txt

SITLog_Info.txt

[mike 1]

Отчет AdwCleaner нужен новый, а не старый. И еще почему ничего не фиксили в HiJackThis? 

[Roman_Five]

 

 

Decrypt - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства

 

ставьте .net framework 3.5

[vzep]

Я делал все по инструкции в HiJackThis и немного недопонимаю, что значит "фиксить"?

AdwCleanerR1.txt

AdwCleanerS0.txt

[Roman_Five]

http://forum.kasperskyclub.ru/index.php?showtopic=7607&do=findComment&comment=78496

[vzep]

Все пофиксил в HijackThis. Все файлы расшифрованы. Большое спасибо!

[mike 1]

• Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
  

• Распакуйте архив с утилитой в отдельную папку
  

• Запустите sitlog.exe
  

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

  
  
  

• В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
  

• По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
  

• Прикрепите эти отчеты в вашей теме.
  

 

[vzep]

Вот.

SITLog.txt

SITLog_Info.txt