Вирус зашифровал все файлы в расширение AES256

@ЗахаровКирилл · Регистрация: 19.10.2014

Студворк — интернет-сервис помощи студентам

Вирус изменил расширение большинства файлов на AES256. Что делать?

@Sandor · 20.10.2014, 10:49

Здравствуйте!

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\Кирилл\appdata\local\microsoft\windows\system.exe');
 TerminateProcessByName('C:\Users\Кирилл\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe');
 QuarantineFile('C:\Users\Кирилл\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
 QuarantineFile('C:\Windows\winstart.bat','');
 QuarantineFile('C:\Program Files (x86)\Opera x64\opera.exe.bat','');
 QuarantineFile('C:\Program Files (x86)\Mozilla Firefox\firefox.exe.bat','');
 QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','');
 QuarantineFile('C:\Users\Кирилл\AppData\Roaming\runWIN\update.exe','');
 QuarantineFile('C:\Users\Кирилл\AppData\Roaming\runWIN\Updates.exe','');
 QuarantineFile('C:\Program Files (x86)\baidu\BindEx.exe','');
 QuarantineFile('c:\users\Кирилл\appdata\local\microsoft\windows\system.exe','');
 QuarantineFile('C:\Users\Кирилл\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','');
 DeleteFile('C:\Program Files (x86)\Opera x64\opera.exe.bat');
 DeleteFile('C:\Program Files (x86)\Mozilla Firefox\firefox.exe.bat');
 DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat');
 DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat', '32');
 DeleteFile('C:\Users\Кирилл\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe', '32');
 DeleteFile('C:\Windows\winstart.bat', '32');
 DeleteFile('C:\Users\Кирилл\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32');
 DeleteFile('c:\users\Кирилл\appdata\local\microsoft\windows\system.exe','32');
 DeleteFile('C:\Program Files (x86)\baidu\BindEx.exe','32');
 DeleteFile('C:\Users\Кирилл\AppData\Roaming\runWIN\Updates.exe','32');
 DeleteFile('C:\Users\Кирилл\AppData\Roaming\runWIN\update.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\SystemScript','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 QuarantineFileF('C:\Users\Кирилл\AppData\Roaming\Mail.RU NewGamesT\','*', true,'',0 ,0);
 QuarantineFileF('C:\Program Files (x86)\baidu\','*', true,'',0 ,0);
 DeleteFileMask('C:\Users\Кирилл\AppData\Roaming\Mail.RU NewGamesT\', '*', true);
 DeleteFileMask('C:\Program Files (x86)\baidu\', '*', true);
 DeleteDirectory('C:\Users\Кирилл\AppData\Roaming\Mail.RU NewGamesT\');
 DeleteDirectory('C:\Program Files (x86)\baidu\');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Файл

CheckBrowserLnk.log

из папки

C:\Users\Кирилл\Desktop\AutoLogger\Check BrowserLnk

перетащите на утилиту ClearLNK.
Отчёт о работе прикрепите к вашему следующему сообщению.
Подготовьте лог AdwCleaner.
Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@ЗахаровКирилл · 20.10.2014, 13:52 **[ТС]**

Логи. Отчет ClearLNK в текстовом файле не хотел грузится, пришлось за архивировать.

@Sandor · 20.10.2014, 14:17

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Кирилл\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','');
 DeleteFile('C:\Users\Кирилл\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
 DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
ExecuteSysClean;
 ExecuteRepair(3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Еще раз повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

@ЗахаровКирилл · 20.10.2014, 14:50 **[ТС]**

Новые логи

@Sandor · 20.10.2014, 15:16

В логах порядок.

Для расшифровки попробуйте эту утилиту.

@thyrex · 20.10.2014, 20:17

+ папки

C:\Users\Кирилл\AppData\Roaming\tor
C:\Users\Кирилл\AppData\Roaming\GemWare
C:\Users\Кирилл\AppData\Roaming\Browsers
C:\Users\Кирилл\AppData\Roaming\Tor Project
C:\Users\Кирилл\AppData\Roaming\ICL

удалите

@ЗахаровКирилл · 20.10.2014, 20:29 **[ТС]**

Благодарю за помощь, все работает, все файлы восстановлены.

@Sandor · 21.10.2014, 09:43

Для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24.
Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после удаления вредоносного ПО

Новые блоги и статьи Все статьи Все блоги /
Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Символьное дифференцирование igorrr37 13.02.2026 / * Программа принимает математическое выражение в виде строки и выдаёт его производную в виде строки и вычисляет значение производной при заданном х Логарифм записывается как: (x-2)log(x^2+2) -. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .

Вирус зашифровал все файлы в расширение AES256

Решение

Решение

Решение

@Sandor 22453 / 15907 / 3080 Регистрация: 08.10.2012 Сообщений: 64,822
	20.10.2014, 14:17
	Сообщение было отмечено ЗахаровКирилл как решение Решение Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Code begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\Кирилл\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe',''); DeleteFile('C:\Users\Кирилл\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt'); DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}'); ExecuteSysClean; ExecuteRepair(3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Еще раз повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. 1

@Sandor 22453 / 15907 / 3080 Регистрация: 08.10.2012 Сообщений: 64,822
	20.10.2014, 15:16
	Сообщение было отмечено ЗахаровКирилл как решение Решение В логах порядок. Для расшифровки попробуйте эту утилиту. 1

@ЗахаровКирилл 0 / 0 / 0 Регистрация: 19.10.2014 Сообщений: 4
	20.10.2014, 20:29 [ТС]
	Благодарю за помощь, все работает, все файлы восстановлены. 0

@Sandor 22453 / 15907 / 3080 Регистрация: 08.10.2012 Сообщений: 64,822
	21.10.2014, 09:43
	Для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24. Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам. Рекомендации после удаления вредоносного ПО 0