Файл "AES256" (.AES256)

17 октября, 2014

Здравствуйте! Проблема как и у многих... Вирус зашифровал все файлы семейные фото и ворд документы с распространенными расширениями aes256

CollectionLog-2014.10.17-08.39.zip

17 октября, 2014

HashKey: 9d677e4d821dfb0f70b5d722cfeb64eb

ID: 28347

17 октября, 2014

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\newSI_609\s_inst.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\newSI_608\s_inst.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\newSI_606\s_inst.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\runWIN\update.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\runWIN\Updates.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
QuarantineFile('C:\Users\Фарис\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','');
QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
QuarantineFileF('C:\Users\Фарис\AppData\Roaming\Mail.RU NewGamesT', '*.*', true,'', 0, 0, '', '');
DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32');
DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\runWIN\Updates.exe','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\runWIN\update.exe','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\newSI_606\s_inst.exe','32');
DeleteFile('C:\Windows\Tasks\newSI_606.job','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\newSI_608\s_inst.exe','32');
DeleteFile('C:\Windows\Tasks\newSI_608.job','32');
DeleteFile('C:\Users\Фарис\AppData\Roaming\newSI_609\s_inst.exe','32');
DeleteFile('C:\Windows\Tasks\newSI_609.job','32');
DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32');
DeleteFile('C:\Windows\system32\Tasks\chrome5','32');
DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','32');
DeleteFile('C:\Windows\system32\Tasks\newSI_606','32');
DeleteFile('C:\Windows\system32\Tasks\newSI_608','32');
DeleteFile('C:\Windows\system32\Tasks\newSI_609','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Schedule','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NewLoadSystemWIN32','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LoaderSystemWIN','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RuningWIN32','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Encrypt','command');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\runWIN', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\runWIN');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\Mail.RU NewGamesT', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\Mail.RU NewGamesT');
DeleteFileMask('c:\programdata\schedule', '*', true);
DeleteDirectory('c:\programdata\schedule');
DeleteFileMask('C:\Program Files\Zaxar', '*', true);
DeleteDirectory('C:\Program Files\Zaxar');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\newSI_606', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\newSI_606');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\newSI_608', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\newSI_608');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\newSI_609', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\newSI_609');
DeleteFileMask('C:\Program Files\Microsoft Data', '*', true);
DeleteDirectory('C:\Program Files\Microsoft Data');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\Microsoft DB', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\Microsoft DB');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\GemWare', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\GemWare');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\Browsers', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\Browsers');
DeleteFileMask('C:\Users\Фарис\AppData\Roaming\ICL', '*', true);
DeleteDirectory('C:\Users\Фарис\AppData\Roaming\ICL');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Сделайте новые логи

Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
Распакуйте архив с утилитой в отдельную папку
Запустите sitlog.exe

Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

,

при необходимости укажите пароль

администратора и нажмите

Да

В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
Прикрепите эти отчеты в вашей теме.

17 октября, 2014

c:\quarantine.zip не смог закрепить отправил по newvirus@kaspersky.com

Сообщение от модератора Mark D. Pearlstone

Не выкладывайте карантин на форум. файл удалён.

SITLog.txt

SITLog_Info.txt

17 октября, 2014

Пофиксите в HiJack

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://1kanal.org/?src=hp1

Пересоздайте ярлыки

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk

C:\Users\Фарис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk

C:\Users\Фарис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk

По расшифровке пробуем обновленную версию http://support.kaspersky.ru/viruses/disinfection/10556

17 октября, 2014

спасибо ВАМ огромное, дай бог ВАМ здоровья. пароль подобран успешно.

17 октября, 2014

Новые SIT логи сделайте для контроля.

19 октября, 2014

Новые SIT логи для контроля.

SITLog.txt

SITLog_Info.txt

19 октября, 2014

Фикс в HiJack почему не выполнили? Запустите HiJack от имени Администратора по правой кнопке мыши и сделайте

Ярлыки тоже похоже не пересоздавали, а сразу ринулись проверять расшифровку

C:\Users\Фарис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk

C:\Users\Фарис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk

19 октября, 2014

вроде всё выполнил .

hijackthis.log

SITLog.txt

SITLog_Info.txt

19 октября, 2014

не пересоздан ярлык

C:\Users\Фарис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 DeleteFile('C:\Users\Фарис\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe');
DeleteFile('C:\Users\Фарис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk');
 DeleteFile('C:\Windows\Tasks\newSI_606.job','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_609','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_608','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_606','32');
 DeleteFile('C:\Windows\Tasks\newSI_609.job','32');
 DeleteFile('C:\Windows\Tasks\newSI_608.job','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Encrypt','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RuningWIN32','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LoaderSystemWIN','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NewLoadSystemWIN32','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Zona','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Schedule','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Сделайте новые логи по правилам.

19 октября, 2014

скрипт AVZ отправил

логи после скрипта AVZ

SITLog.txt

SITLog_Info.txt

19 октября, 2014

Сделайте новые логи по правилам.

Где в правилах увидел лог SIT?

19 октября, 2014

это правильно?

KL_syscure.zip

19 октября, 2014

farmys
Нужен лог CollectionLog, как в первом сообщении, только новый.

Файл "AES256" (.AES256)

Рекомендуемые сообщения

farmys

Ссылка на комментарий

Поделиться на другие сайты

farmys

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

farmys

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

farmys

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

farmys

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

farmys

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

farmys

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

farmys

Ссылка на комментарий

Поделиться на другие сайты

Mark D. Pearlstone

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum