Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Файл "AES256" (.AES256)

farmys
 Поделиться

Рекомендуемые сообщения

farmys

farmys

Опубликовано
Опубликовано

Здравствуйте! Проблема как и у многих... Вирус зашифровал все файлы семейные фото и ворд документы с распространенными расширениями aes256 

CollectionLog-2014.10.17-08.39.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\newSI_609\s_inst.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\newSI_608\s_inst.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\newSI_606\s_inst.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\runWIN\update.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\runWIN\Updates.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','');
QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
QuarantineFileF('C:\Users\Фарис\AppData\Roaming\Mail.RU NewGamesT', '*.*', true,'', 0, 0, '', '');
DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32');
DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\runWIN\Updates.exe','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\runWIN\update.exe','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\newSI_606\s_inst.exe','32');
DeleteFile('C:\Windows\Tasks\newSI_606.job','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\newSI_608\s_inst.exe','32');
DeleteFile('C:\Windows\Tasks\newSI_608.job','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\newSI_609\s_inst.exe','32');
DeleteFile('C:\Windows\Tasks\newSI_609.job','32');
DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32');
DeleteFile('C:\Windows\system32\Tasks\chrome5','32');
DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','32');
DeleteFile('C:\Windows\system32\Tasks\newSI_606','32');
DeleteFile('C:\Windows\system32\Tasks\newSI_608','32');
DeleteFile('C:\Windows\system32\Tasks\newSI_609','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Schedule','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NewLoadSystemWIN32','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LoaderSystemWIN','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RuningWIN32','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Encrypt','command');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\runWIN', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\runWIN');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\Mail.RU NewGamesT', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\Mail.RU NewGamesT');
DeleteFileMask('c:\programdata\schedule', '*', true);
DeleteDirectory('c:\programdata\schedule');
DeleteFileMask('C:\Program Files\Zaxar', '*', true);
DeleteDirectory('C:\Program Files\Zaxar');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\newSI_606', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\newSI_606');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\newSI_608', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\newSI_608');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\newSI_609', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\newSI_609');
DeleteFileMask('C:\Program Files\Microsoft Data', '*', true);
DeleteDirectory('C:\Program Files\Microsoft Data');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\Microsoft DB', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\Microsoft DB');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\GemWare', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\GemWare');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\Browsers', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\Browsers');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\ICL', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\ICL');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 


Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
Распакуйте архив с утилитой в отдельную папку
Запустите sitlog.exe

Обратите внимание
, что утилиты необходимо запускать от имени Администратора. По умолчанию в
Windows XP
так и есть. В
Windows Vista
и
Windows 7
администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
Запуск от имени Администратора
,
при необходимости укажите пароль
администратора и нажмите
Да


В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
Прикрепите эти отчеты в вашей теме.

Ссылка на комментарий
Поделиться на другие сайты
farmys

farmys

Опубликовано
  • Автор
Опубликовано

c:\quarantine.zip не смог закрепить отправил по newvirus@kaspersky.com

 

Сообщение от модератора Mark D. Pearlstone
Не выкладывайте карантин на форум. файл удалён.

 

SITLog.txt

SITLog_Info.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJack

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://1kanal.org/?src=hp1

Пересоздайте ярлыки

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\Фарис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\Users\Фарис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk

 

 

По расшифровке пробуем обновленную версию http://support.kaspersky.ru/viruses/disinfection/10556

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Фикс в HiJack почему не выполнили? Запустите HiJack от имени Администратора по правой кнопке мыши и сделайте

 

Ярлыки тоже похоже не пересоздавали, а сразу ринулись проверять расшифровку

C:\Users\Фарис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\Фарис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk

 

 

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано

не пересоздан ярлык

C:\Users\Фарис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk 
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 DeleteFile('C:\Users\Фарис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe');
DeleteFile('C:\Users\Фарис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk');
 DeleteFile('C:\Windows\Tasks\newSI_606.job','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_609','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_608','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_606','32');
 DeleteFile('C:\Windows\Tasks\newSI_609.job','32');
 DeleteFile('C:\Windows\Tasks\newSI_608.job','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Encrypt','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RuningWIN32','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LoaderSystemWIN','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NewLoadSystemWIN32','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Zona','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Schedule','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
 
Сделайте новые логи по правилам.
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Evgeniy Alekseevich
      Файлы зашифрованы, расширение файлов helpo2, как расшифровать ?
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • Владислав Эпштейн
      Помощь в расшифровке файлов
      Автор Владислав Эпштейн
      Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
      Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
      Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
      Просканировать систему не представляется возможным через программу которая приложена в правилах.
      Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
      Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
      Посоветуйте пожалуйста о дальнейших действиях
    • Alexxxxx
      У меня РАТ файл
      Автор Alexxxxx
      Я установил РАТ файл случайно 
      По ту сторону вируса со мной связался человек он говорит что у меня установлен dropper и bootkit вместе с rat вирусом он пытался получить доступ к аккаунтам , у некоторых я поменял пароль и отключил интернет кабель, что мне делать
    • Serhio0606
      Проверка файла
      Автор Serhio0606
      Здравствуйте, хотел скачать игру, но «Касперский» посчитал, что в файле-установщике есть вирус ( UDS:DangerousObject.Multi.Generic ). Я почитал про это в интернете и узнал, что он не всегда бывает вирусом, и чтобы проверить, можно отправить файл на форум, где специалисты вручную проверят его на наличие вирусов. Помогите, пожалуйста!
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
       
      Строгое предупреждение от модератора Mark D. Pearlstone На форуме запрещено размещать вредоносные и потенциально вредоносные файлы и ссылки на них.
       
    • SatanicPanzer
      Файлы зашифрованы с расширением Encrypted
      Автор SatanicPanzer
      Скорее всего проник через почту на сервер небольшой фирмы, файлы и логи прикрепляю
      FRST.txt 1.zip
×
×
  • Создать...