Решена Зашифрованы файлы jpg, doc

Статус
В этой теме нельзя размещать новые ответы.
akok

akok

Команда форума
Администратор
Сообщения
16,549
Реакции
13,101
Баллы
2,203
Что с проблемами?
 
V

vmit

Активный пользователь
Сообщения
44
Реакции
2
Баллы
238
Расшифровывать файлы я только попробовала на другом компьютере - получается. На зараженном еще не расшифровывала. Буду, когда добро дадите и скажете, что вирус удален.
 
V

vmit

Активный пользователь
Сообщения
44
Реакции
2
Баллы
238
лог OTL
 

Вложения

  • 219.8 KB Просмотры: 3
akok

akok

Команда форума
Администратор
Сообщения
16,549
Реакции
13,101
Баллы
2,203
TeamViewer - сами устанавливали?

Запустите снова OTL.exe и скопируйте скрипт в поле
:

Код:
:OTL
PRC - [2012.10.22 13:48:21 | 000,118,784 | ---- | M] () -- C:\Documents and Settings\Admin\Application Data\Microsoft\taskhost.exe
OD - [2012.10.22 13:48:27 | 000,040,448 | ---- | M] () -- C:\WINDOWS.0\system32\grzblwb.dll
MOD - [2012.10.22 13:48:21 | 000,118,784 | ---- | M] () -- C:\Documents and Settings\Admin\Application Data\Microsoft\taskhost.exe
DRV - [2012.10.22 15:28:31 | 000,054,016 | ---- | M] () [Kernel | Boot | Unknown] -- C:\WINDOWS.0\system32\drivers\xcecdn.sys -- (wlqp)
O20 - AppInit_DLLs: (C:\WINDOWS.0\system32\grzblwb.dll) - C:\WINDOWS.0\system32\grzblwb.dll ()


:files
C:\Documents and Settings\Admin\Application Data\Microsoft\taskhost.exe


recycler /alldrives
ipconfig /flushdns /c


:Commands
[PURITY] 
[EMPTYTEMP] 
CREATERESTOREPOINT] 
[DRIVES]
[REBOOT]
После нажмите на кнопку

После выполнения скрипта будут созданы созданы два файла - OTL.txt и Extras.txt.

Проверьте на www.virustotal.com и сообщите результаты проверки
Код:
 C:\WINDOWS.0\system32\suge1l3.dll
 
V

vmit

Активный пользователь
Сообщения
44
Реакции
2
Баллы
238
Team Viewer сами устанавливали, я через него логи делаю, потому как компьютер дома, а я на работе. Еще перестали открываться многие интернет-станицы. Высылаю файл.
 

Вложения

akok

akok

Команда форума
Администратор
Сообщения
16,549
Реакции
13,101
Баллы
2,203
Кодировка страницы сбита.
 
V

vmit

Активный пользователь
Сообщения
44
Реакции
2
Баллы
238
Что нужно предпринять? Оперу переставить?
 
V

vmit

Активный пользователь
Сообщения
44
Реакции
2
Баллы
238
Компьютер завис при выполнении скрипта (черный экран несколько минут без всяких проявлений жизни), еще раз попробовать сделать скрипт? или он сделался нормальный?
 
Severnyj

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,423
Реакции
8,781
Баллы
743
Скорее всего нормальный. Выложите лог
 
V

vmit

Активный пользователь
Сообщения
44
Реакции
2
Баллы
238
логи

А куда этот код C:\WINDOWS.0\system32\suge1l3.dll вводить не поняла...
 

Вложения

  • 219.8 KB Просмотры: 2
  • 1.1 KB Просмотры: 1
  • 938 байт Просмотры: 1
  • 938 байт Просмотры: 1
Severnyj

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,423
Реакции
8,781
Баллы
743
Java так и не обновили, обновляйте или деинсталлируйте (Почему это важно).

Что с антивирусом?

  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes
    :OTL
    PRC - [2012.10.22 13:48:21 | 000,118,784 | ---- | M] () -- C:\Documents and Settings\Admin\Application Data\Microsoft\taskhost.exe
    MOD - [2012.10.22 13:48:27 | 000,040,448 | ---- | M] () -- C:\WINDOWS.0\system32\grzblwb.dll
    MOD - [2012.10.22 13:48:21 | 000,118,784 | ---- | M] () -- C:\Documents and Settings\Admin\Application Data\Microsoft\taskhost.exe
    O20 - AppInit_DLLs: (C:\WINDOWS.0\system32\grzblwb.dll) - C:\WINDOWS.0\system32\grzblwb.dll ()
    [2012.05.24 15:35:44 | 000,000,082 | ---- | C] () -- C:\WINDOWS.0\System32\operaprefs_fixed.ini
    :Services
    
    :Files
    
    ipconfig /flushdns /c
    :Reg
    
    :Commands
    [EMPTYTEMP]
    [purity]
    [start explorer]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
 
V

vmit

Активный пользователь
Сообщения
44
Реакции
2
Баллы
238
после выполнения скрипта компьютер опять завис (также как и выше) ... файл log не создался. Указанная папка пустая.
Текст проверила, скопировала полностью
 
akok

akok

Команда форума
Администратор
Сообщения
16,549
Реакции
13,101
Баллы
2,203
Это попробуем:
Подготовьте лог UVS
 
Severnyj

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,423
Реакции
8,781
Баллы
743
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.76 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    sreg
    ; C:\WINDOWS.0\SYSTEM32\GRZBLWB.DLL
    addsgn A7679BCC06E1117A80A1A2E6EFB50280D3FFF575B4C66A7995C32E9AD328733826943D564B773CF55181941A866240AD2B8C17A2D01AC4207A21F7C720F8DD8C 64 Mayachok
    
    bl A5C4A304E62508BA592F494D40B3FBE9 40448
    zoo %Sys32%\GRZBLWB.DLL
    delall %Sys32%\GRZBLWB.DLL
    zoo C:\Documents and Settings\Admin\Application Data\Microsoft\taskhost.exe
    delall C:\Documents and Settings\Admin\Application Data\Microsoft\taskhost.exe
    chklst
    delvir
    czoo
    deltmp
    areg
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

____________________________________________________________


Сделайте новые логи OTL и uVS


____________________________________________________________
 
Последнее редактирование:
V

vmit

Активный пользователь
Сообщения
44
Реакции
2
Баллы
238
Он запросил убить процессы (раз 10) каждый раз разных. Я нажимала Ок. Он завис, а потом выдал синий экран с ошибкой.
 
Последнее редактирование модератором:
Severnyj

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,423
Реакции
8,781
Баллы
743
Обновите страницу и попробуйте еще раз - скрипт обновлен

Если снова будет синий экран, попробуйте выполнить скрипт из безопасного режима
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу