Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Файл "AES256" (.AES256)

farmys
 Поделиться

Рекомендуемые сообщения

farmys Новичок

farmys

Опубликовано
Опубликовано

Здравствуйте! Проблема как и у многих... Вирус зашифровал все файлы семейные фото и ворд документы с распространенными расширениями aes256 

CollectionLog-2014.10.17-08.39.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\newSI_609\s_inst.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\newSI_608\s_inst.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\newSI_606\s_inst.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\runWIN\update.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\runWIN\Updates.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','');
QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
QuarantineFileF('C:\Users\Фарис\AppData\Roaming\Mail.RU NewGamesT', '*.*', true,'', 0, 0, '', '');
DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32');
DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\runWIN\Updates.exe','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\runWIN\update.exe','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\newSI_606\s_inst.exe','32');
DeleteFile('C:\Windows\Tasks\newSI_606.job','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\newSI_608\s_inst.exe','32');
DeleteFile('C:\Windows\Tasks\newSI_608.job','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\newSI_609\s_inst.exe','32');
DeleteFile('C:\Windows\Tasks\newSI_609.job','32');
DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32');
DeleteFile('C:\Windows\system32\Tasks\chrome5','32');
DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','32');
DeleteFile('C:\Windows\system32\Tasks\newSI_606','32');
DeleteFile('C:\Windows\system32\Tasks\newSI_608','32');
DeleteFile('C:\Windows\system32\Tasks\newSI_609','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Schedule','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NewLoadSystemWIN32','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LoaderSystemWIN','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RuningWIN32','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Encrypt','command');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\runWIN', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\runWIN');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\Mail.RU NewGamesT', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\Mail.RU NewGamesT');
DeleteFileMask('c:\programdata\schedule', '*', true);
DeleteDirectory('c:\programdata\schedule');
DeleteFileMask('C:\Program Files\Zaxar', '*', true);
DeleteDirectory('C:\Program Files\Zaxar');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\newSI_606', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\newSI_606');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\newSI_608', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\newSI_608');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\newSI_609', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\newSI_609');
DeleteFileMask('C:\Program Files\Microsoft Data', '*', true);
DeleteDirectory('C:\Program Files\Microsoft Data');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\Microsoft DB', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\Microsoft DB');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\GemWare', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\GemWare');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\Browsers', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\Browsers');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\ICL', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\ICL');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 


Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
Распакуйте архив с утилитой в отдельную папку
Запустите sitlog.exe

Обратите внимание
, что утилиты необходимо запускать от имени Администратора. По умолчанию в
Windows XP
так и есть. В
Windows Vista
и
Windows 7
администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
Запуск от имени Администратора
,
при необходимости укажите пароль
администратора и нажмите
Да


В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
Прикрепите эти отчеты в вашей теме.

Ссылка на комментарий
Поделиться на другие сайты
farmys Новичок

farmys

Опубликовано
  • Автор
Опубликовано

c:\quarantine.zip не смог закрепить отправил по newvirus@kaspersky.com

 

Сообщение от модератора Mark D. Pearlstone
Не выкладывайте карантин на форум. файл удалён.

 

SITLog.txt

SITLog_Info.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJack

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://1kanal.org/?src=hp1

Пересоздайте ярлыки

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\Фарис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\Users\Фарис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk

 

 

По расшифровке пробуем обновленную версию http://support.kaspersky.ru/viruses/disinfection/10556

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Фикс в HiJack почему не выполнили? Запустите HiJack от имени Администратора по правой кнопке мыши и сделайте

 

Ярлыки тоже похоже не пересоздавали, а сразу ринулись проверять расшифровку

C:\Users\Фарис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\Фарис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk

 

 

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

не пересоздан ярлык

C:\Users\Фарис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk 
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 DeleteFile('C:\Users\Фарис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe');
DeleteFile('C:\Users\Фарис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk');
 DeleteFile('C:\Windows\Tasks\newSI_606.job','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_609','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_608','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_606','32');
 DeleteFile('C:\Windows\Tasks\newSI_609.job','32');
 DeleteFile('C:\Windows\Tasks\newSI_608.job','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Encrypt','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RuningWIN32','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LoaderSystemWIN','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NewLoadSystemWIN32','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Zona','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Schedule','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
 
Сделайте новые логи по правилам.
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Alexxxxx
      У меня РАТ файл
      Автор Alexxxxx
      Я установил РАТ файл случайно 
      По ту сторону вируса со мной связался человек он говорит что у меня установлен dropper и bootkit вместе с rat вирусом он пытался получить доступ к аккаунтам , у некоторых я поменял пароль и отключил интернет кабель, что мне делать
    • Serhio0606
      Проверка файла
      Автор Serhio0606
      Здравствуйте, хотел скачать игру, но «Касперский» посчитал, что в файле-установщике есть вирус ( UDS:DangerousObject.Multi.Generic ). Я почитал про это в интернете и узнал, что он не всегда бывает вирусом, и чтобы проверить, можно отправить файл на форум, где специалисты вручную проверят его на наличие вирусов. Помогите, пожалуйста!
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
       
      Строгое предупреждение от модератора Mark D. Pearlstone На форуме запрещено размещать вредоносные и потенциально вредоносные файлы и ссылки на них.
       
    • XromoV1K
      [РЕШЕНО] Переименовались файлы в службах.
      Автор XromoV1K
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. Некоторые удалить получилось, остальные не поддаются
      CollectionLog-2025.07.19-22.17.zipAddition.txt 
      FRST.txt
       
      в центре обновления windows пишет: что-то пошло не так.
      устранение неполадок не грузит постоянно пишет: проверка наличие отложенного перезапуска и так бесконечно 
    • Sgorick
      Переписанные файлы
      Автор Sgorick
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv я с помощью роликов переделал. bits существует в двух экземплярах, один из которых был bkp, но потом стал обычным.
      FRST.txt Addition.txt CollectionLog-2025.06.07-20.41.zip
    • Бебра
      Как перенести файлы с одного диска на другой?
      Автор Бебра
      У меня есть несистемный HDD, он почти перестал работать, я попробовал перенести файлы с него на новый SSD при помощи HDD Raw Copy Tool, предварительно введя ПК в безопасный режим, но теперь многие данные на SSD повреждены и выдают «ошибка файловой системы», HDD ещё читается, но очень тормозит.
×
×
  • Создать...