Перейти к содержанию

Файл "AES256" (.AES256)

farmys
 Поделиться

Рекомендуемые сообщения

farmys

farmys

Опубликовано
Опубликовано

Здравствуйте! Проблема как и у многих... Вирус зашифровал все файлы семейные фото и ворд документы с распространенными расширениями aes256 

CollectionLog-2014.10.17-08.39.zip

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\newSI_609\s_inst.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\newSI_608\s_inst.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\newSI_606\s_inst.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\runWIN\update.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\runWIN\Updates.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','');
QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
QuarantineFileF('C:\Users\Фарис\AppData\Roaming\Mail.RU NewGamesT', '*.*', true,'', 0, 0, '', '');
DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32');
DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\runWIN\Updates.exe','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\runWIN\update.exe','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\newSI_606\s_inst.exe','32');
DeleteFile('C:\Windows\Tasks\newSI_606.job','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\newSI_608\s_inst.exe','32');
DeleteFile('C:\Windows\Tasks\newSI_608.job','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\newSI_609\s_inst.exe','32');
DeleteFile('C:\Windows\Tasks\newSI_609.job','32');
DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32');
DeleteFile('C:\Windows\system32\Tasks\chrome5','32');
DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','32');
DeleteFile('C:\Windows\system32\Tasks\newSI_606','32');
DeleteFile('C:\Windows\system32\Tasks\newSI_608','32');
DeleteFile('C:\Windows\system32\Tasks\newSI_609','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Schedule','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NewLoadSystemWIN32','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LoaderSystemWIN','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RuningWIN32','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Encrypt','command');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\runWIN', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\runWIN');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\Mail.RU NewGamesT', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\Mail.RU NewGamesT');
DeleteFileMask('c:\programdata\schedule', '*', true);
DeleteDirectory('c:\programdata\schedule');
DeleteFileMask('C:\Program Files\Zaxar', '*', true);
DeleteDirectory('C:\Program Files\Zaxar');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\newSI_606', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\newSI_606');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\newSI_608', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\newSI_608');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\newSI_609', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\newSI_609');
DeleteFileMask('C:\Program Files\Microsoft Data', '*', true);
DeleteDirectory('C:\Program Files\Microsoft Data');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\Microsoft DB', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\Microsoft DB');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\GemWare', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\GemWare');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\Browsers', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\Browsers');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\ICL', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\ICL');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 


Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
Распакуйте архив с утилитой в отдельную папку
Запустите sitlog.exe

Обратите внимание
, что утилиты необходимо запускать от имени Администратора. По умолчанию в
Windows XP
так и есть. В
Windows Vista
и
Windows 7
администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
Запуск от имени Администратора
,
при необходимости укажите пароль
администратора и нажмите
Да


В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
Прикрепите эти отчеты в вашей теме.

farmys

farmys

Опубликовано
  • Автор
Опубликовано

c:\quarantine.zip не смог закрепить отправил по newvirus@kaspersky.com

 

Сообщение от модератора Mark D. Pearlstone
Не выкладывайте карантин на форум. файл удалён.

 

SITLog.txt

SITLog_Info.txt

thyrex

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJack

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://1kanal.org/?src=hp1

Пересоздайте ярлыки

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\Фарис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\Users\Фарис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk

 

 

По расшифровке пробуем обновленную версию http://support.kaspersky.ru/viruses/disinfection/10556

  • Согласен 1
farmys

farmys

Опубликовано
  • Автор
Опубликовано

спасибо ВАМ огромное, дай бог ВАМ здоровья. пароль подобран успешно.

mike 1

mike 1

Опубликовано
Опубликовано

Новые SIT логи сделайте для контроля. 

  • Согласен 1
thyrex

thyrex

Опубликовано
Опубликовано

Фикс в HiJack почему не выполнили? Запустите HiJack от имени Администратора по правой кнопке мыши и сделайте

 

Ярлыки тоже похоже не пересоздавали, а сразу ринулись проверять расшифровку

C:\Users\Фарис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\Фарис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk

 

 

  • Согласен 1
Roman_Five

Roman_Five

Опубликовано
Опубликовано

не пересоздан ярлык

C:\Users\Фарис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk 
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 DeleteFile('C:\Users\Фарис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe');
DeleteFile('C:\Users\Фарис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk');
 DeleteFile('C:\Windows\Tasks\newSI_606.job','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_609','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_608','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_606','32');
 DeleteFile('C:\Windows\Tasks\newSI_609.job','32');
 DeleteFile('C:\Windows\Tasks\newSI_608.job','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Encrypt','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RuningWIN32','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LoaderSystemWIN','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NewLoadSystemWIN32','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Zona','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Schedule','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
 
Сделайте новые логи по правилам.
  • Согласен 1
thyrex

thyrex

Опубликовано
Опубликовано

 

 


Сделайте новые логи по правилам.
Где в правилах увидел лог SIT?
  • Согласен 1
Mark D. Pearlstone

Mark D. Pearlstone

Опубликовано
Опубликовано

farmys
Нужен лог CollectionLog, как в первом сообщении, только новый.

  • Согласен 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Alexxxxx
      У меня РАТ файл
      Автор Alexxxxx
      Я установил РАТ файл случайно 
      По ту сторону вируса со мной связался человек он говорит что у меня установлен dropper и bootkit вместе с rat вирусом он пытался получить доступ к аккаунтам , у некоторых я поменял пароль и отключил интернет кабель, что мне делать
    • Sgorick
      Переписанные файлы
      Автор Sgorick
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv я с помощью роликов переделал. bits существует в двух экземплярах, один из которых был bkp, но потом стал обычным.
      FRST.txt Addition.txt CollectionLog-2025.06.07-20.41.zip
    • Serhio0606
      Проверка файла
      Автор Serhio0606
      Здравствуйте, хотел скачать игру, но «Касперский» посчитал, что в файле-установщике есть вирус ( UDS:DangerousObject.Multi.Generic ). Я почитал про это в интернете и узнал, что он не всегда бывает вирусом, и чтобы проверить, можно отправить файл на форум, где специалисты вручную проверят его на наличие вирусов. Помогите, пожалуйста!
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
       
      Строгое предупреждение от модератора Mark D. Pearlstone На форуме запрещено размещать вредоносные и потенциально вредоносные файлы и ссылки на них.
       
    • Andrey_ka
      зашифрованные файлы
      Автор Andrey_ka
      Добрый день! Может , кто подскажет... попался диск с архивами одного предприятия , диск стоял на NAS Iomega, со временем hdd был поврежден , но данные с него я смог вытащить , файловая структура целая , но как выяснилось ни один из файлов нормально не открывается, уточни у бывших работников и выяснил , что еще до того как он умер у них начались подобные проблемы и большую часть информации они успели переписать ( все указывает на работу вируса шифровальщика) , взяв несколько файлов попытался онлайн прогнать разными анализаторами вирусов , результат один вирусов не обнаружено ... теперь о самих файлах - неважно это файлы doc, docx, pdf и т.д. тенденция прослеживается такая, начало файла смещение 0x2E0 защифрованно, в конец файла добавлено 1126 байт , код начинается D9 9D 68 и полностью одинаковы во всех файлах кроме последних 0x84 байта. Ни то, что бы информация очень востребована , любопытно, что это за вирус и тд... если кому интересно , образцы файлов выложу и дамп концовки ....    
          вставить выделенную цитату в окно ответа
            xТитульный.docx Титульный.docx titdump.txt
    • Mep3aBEz
      Зашифровались файлы
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
×
×
  • Создать...