Перейти к содержанию

Вирус зашифровал файлы в формате aes256.

Derean
 Share Подписчики 0

Рекомендуемые сообщения

Derean

Derean 0

Опубликовано
Опубликовано

Доброго времени суток. Как-то так получилось, что вирус зашифровал все мои документы Microsoft Office, фотографии и видео. Не знаю, с чем это связать, т.к. на тот момент ничего не скачивала. Данная проблема распространяется только на учетную запись с правами администратора, в учетной же записи с обычным доступом все в полном порядке.

 

HashKey: 59fca4fb6582f5c55956673eab3ca0c6
ID: 17755

CollectionLog-2014.10.21-01.12.zip

Ссылка на сообщение
Поделиться на другие сайты
Roman_Five

Roman_Five 598

Опубликовано
Опубликовано
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 SetServiceStart('DatamngrCoordinator', 4);
 QuarantineFile('C:\ProgramData\Mozilla\vxswpme.exe','');
 QuarantineFile('C:\Users\8BAD~1\AppData\Local\Temp\3fb9d.exe','');
 QuarantineFile('C:\Users\8BAD~1\AppData\Local\Temp\3fd10.exe','');
 QuarantineFile('C:\PROGRA~2\SEARCH~1\Datamngr\SRTOOL~1\searchresultsDx.dll','');
 QuarantineFile('c:\progra~2\movies~1\datamngr\mgrldr.dll','');
 QuarantineFile('C:\Users\Алена\AppData\Roaming\runWIN\Update.exe','');
 QuarantineFile('C:\Users\Алена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
 QuarantineFile('C:\Users\Алена\AppData\Local\binkoer.dll','');
 QuarantineFile('C:\Users\Алена\AppData\Local\Microsoft\Windows\winupdate.exe','');
 QuarantineFile('C:\Program Files (x86)\Ticno\Tabs\TicnoTabs.exe','');
 QuarantineFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\apcrtldr.dll','');
 QuarantineFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\apcrtldr.dll','');
 QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','');
 QuarantineFile('C:\PROGRA~2\SEARCH~1\Datamngr\DATAMN~2.EXE','');
 QuarantineFile('C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll','');
 QuarantineFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\DatamngrCoordinator.exe','');
 DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\DatamngrCoordinator.exe','32');
 DeleteFile('C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll','32');
 DeleteFile('C:\PROGRA~2\SEARCH~1\Datamngr\DATAMN~2.EXE','32');
 DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','32');
 DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\apcrtldr.dll','32');
 DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\apcrtldr.dll','32');
 DeleteFile('C:\Program Files (x86)\Ticno\Tabs\TicnoTabs.exe','32');
 DeleteFile('C:\Users\Алена\AppData\Local\Microsoft\Windows\winupdate.exe','32');
 DeleteFile('C:\Users\Алена\AppData\Local\binkoer.dll','32');
 DeleteFile('C:\Users\Алена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
 DeleteFile('C:\Users\Алена\AppData\Roaming\runWIN\update.exe','32');
 DeleteFile('c:\progra~2\movies~1\datamngr\mgrldr.dll','32');
 DeleteFile('C:\PROGRA~2\SEARCH~1\Datamngr\SRTOOL~1\searchresultsDx.dll','32');
 DeleteFile('C:\Windows\Tasks\bcdesmquw.job','64');
 DeleteFile('C:\Windows\Tasks\jlsr.job','64');
 DeleteFile('C:\Users\8BAD~1\AppData\Local\Temp\3fd10.exe','32');
 DeleteFile('C:\Users\8BAD~1\AppData\Local\Temp\3fb9d.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\bcdesmquw','64');
 DeleteFile('C:\Windows\system32\Tasks\jlsr','64');
 DeleteFile('C:\ProgramData\Mozilla\vxswpme.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\yzmmbuf','64');
 DelBHO('{377e5d4d-77e5-476a-8716-7e70a9272da0}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x86');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\binkoer','command');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');
 DeleteService('DatamngrCoordinator');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.
Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.
 
Порядок действий на портале My Kaspersky:
1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;
2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;
3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;
4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;
5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.
Важно: размер архива не должен превышать 15 МБ;
6) В строке EMail укажите адрес своей электронной почты;
7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.
 
Порядок действий на портале Kaspersky Virus Desk:
1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.
 
Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://oreshki-news.net/?source=ic
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O2 - BHO: Search-Results Toolbar - {377e5d4d-77e5-476a-8716-7e70a9272da0} - C:\PROGRA~2\SEARCH~1\Datamngr\SRTOOL~1\searchresultsDx.dll (file missing)
O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O3 - Toolbar: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O3 - Toolbar: Search-Results Toolbar - {377e5d4d-77e5-476a-8716-7e70a9272da0} - C:\PROGRA~2\SEARCH~1\Datamngr\SRTOOL~1\searchresultsDx.dll (file missing)
O4 - HKCU\..\Run: [LoaderSystemWIN] C:\Users\Алена\AppData\Roaming\runWIN\Update.exe
O4 - HKCU\..\Run: [RuningWIN32] C:\Users\Алена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe
O4 - HKCU\..\Run: [NewLoadSystemWIN32] C:\Users\Алена\AppData\Roaming\runWIN\update.exe
O4 - Startup: winupdate.lnk = ?
O4 - Global Startup: Tabs.lnk = C:\Program Files (x86)\Ticno\Tabs\Ticno Tabs.exe
O20 - AppInit_DLLs: c:\progra~2\movies~1\datamngr\mgrldr.dll
 
Удалите папки:
 
2014-10-08 16:46:33 ----HD---- C:\Users\Алена\AppData\Roaming\Mail.RU NewGamesT
2014-10-07 19:35:43 ----D---- C:\Users\Алена\AppData\Roaming\Microsoft DB
2014-10-07 15:13:13 ----D---- C:\Users\Алена\AppData\Roaming\GemWare
2014-10-07 15:12:59 ----D---- C:\Users\Алена\AppData\Roaming\Browsers
2014-10-07 15:12:44 ----D---- C:\Users\Алена\AppData\Roaming\Tor Project
2014-10-07 15:12:36 ----D---- C:\Users\Алена\AppData\Roaming\ICL
Очистите ярлыки с помощью FixerBro.
лог приложите.
 
Приложите лог AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647500

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем
×
×
  • Создать...