Закрыто Вирус подменивает расширения doc docx и т.д.

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Truelove, 21 янв 2015.

Статус темы:
Закрыта.
  1. Truelove
    Оффлайн

    Truelove Новый пользователь

    Сообщения:
    3
    Симпатии:
    0
    Здравствуйте ! Вирус подменивает расширения doc docx и т.д. пришел по поте уже на трех компьютерах зашифровал все документы просит денег ! помогите )
     

    Вложения:

    • avz_log.txt
      Размер файла:
      1 КБ
      Просмотров:
      1
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.443
    Симпатии:
    13.950
    Добрый день.
    1. Это не тот лог, нужен такой => http://safezone.cc/pravila/
    2. Нужно несколько примеров зашифрованных документов.
    3. Забекапьте таки важную информацию.
     
  3. Truelove
    Оффлайн

    Truelove Новый пользователь

    Сообщения:
    3
    Симпатии:
    0
    готово
    --- Объединённое сообщение, 22 янв 2015, Дата первоначального сообщения: 22 янв 2015 ---
    пароль от архива с вирусом 123456
    --- Объединённое сообщение, 22 янв 2015 ---
    я отправил вам ниже в комментарих все логи, один из файлов и сам вирус в архиве пароль от архива 123456
     

    Вложения:

  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.443
    Симпатии:
    13.950
    mobogenie - деинсталируйте

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      end;
    SetServiceStart('pwxhimtk', 4);
     QuarantineFile('C:\Users\Курмет\appdata\roaming\etranslator\etranslator.exe','');
     QuarantineFile('C:\Users\DC45~1\AppData\Local\Temp\gorpbkh.exe','');
     QuarantineFile('C:\Windows\system32\drivers\pwxhimtk.sys','');
     QuarantineFile('c:\users\dc45~1\appdata\local\temp\gorpbkh.exe','');
     DeleteFile('c:\users\dc45~1\appdata\local\temp\gorpbkh.exe','32');
     DeleteFile('C:\Windows\system32\drivers\pwxhimtk.sys','32');
     DeleteFile('C:\Windows\system32\Tasks\xqozkzd','32');
     DeleteFile('C:\Users\DC45~1\AppData\Local\Temp\gorpbkh.exe','32');
     DeleteFile('C:\Users\Курмет\appdata\roaming\etranslator\etranslator.exe','32');
      DeleteService('pwxhimtk');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте при помощи этой формы
    --- Объединённое сообщение, 22 янв 2015 ---
    В меню AVZ - Сервис - Поиск данных в реестре.
    В поле 'Образец' впишите webalta, нажмите 'Пуск'.
    После окончания сохраните протокол и выложите сюда.
    Поиск не закрывайте.

    Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните в формате txt и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2014-04-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
    Подробнее читайте в руководстве
     
  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.443
    Симпатии:
    13.950
    Пообщался с коллегами. На данный момент дешифровать файлы не представляется возможным. Возможно помогут специалисты dr.web
     
  6. Truelove
    Оффлайн

    Truelove Новый пользователь

    Сообщения:
    3
    Симпатии:
    0
    вот протокол
    --- Объединённое сообщение, 23 янв 2015 ---
     

    Вложения:

    • Export.txt
      Размер файла:
      995 байт
      Просмотров:
      1
    • Export.txt
      Размер файла:
      995 байт
      Просмотров:
      1
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.443
    Симпатии:
    13.950
    Выделите все, что нашло AVZ (правая клавиша - выделить все) и нажмите кнопку "удалить отмеченные ключи"
    --- Объединённое сообщение, 23 янв 2015, Дата первоначального сообщения: 23 янв 2015 ---
    лог mbam не прикрепили
     
  8. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.466
    Симпатии:
    3.096
    Увы
     
Статус темы:
Закрыта.

Поделиться этой страницей