Прошу помощи!!! Где-то поймал вирус который перевёл все вордовские файлы и файлы pdf в непонятный формат .xtbl.
По инструкции всё сделал и прикрепил скрипты.
ссылки на файлы которые изменил вирус
http://filesmail.ru/5et2yt99hy9l.html
http://filesmail.ru/03f4ewgglwzf.html
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Саша666, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\DOCUME~1\user\APPLIC~1\DIGITA~1\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Documents and Settings\user\Application Data\MDS-MCDTSPKSPPO\miccal.exe',''); QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.erolpxei.bat',''); QuarantineFile('C:\WINDOWS\system32\drivers\{c5db642e-a4dc-48dc-a9f5-088bcf85b719}t.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{820a714f-c526-4777-8e87-e9d6612e0938}t.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{748ea00c-6f7f-4fc0-becf-f6ebec59eb8f}t.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{60795004-05ce-4992-8494-ff332d4bc1e6}t.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{55bbc577-fb0b-4e77-8a51-e033716a9ead}t.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{3b8bbf2f-2888-4db1-9de7-5eeb1a213421}Gt.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{2fb2b93a-d824-4963-962b-e98da201096d}t.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{150ca330-afd5-4527-99bc-b3ce918cea60}t.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{128614e8-07dd-4e11-b9ec-ca2c14f812c5}t.sys',''); DeleteService('{c5db642e-a4dc-48dc-a9f5-088bcf85b719}t'); DeleteService('{820a714f-c526-4777-8e87-e9d6612e0938}t'); DeleteService('{748ea00c-6f7f-4fc0-becf-f6ebec59eb8f}t'); DeleteService('{60795004-05ce-4992-8494-ff332d4bc1e6}t'); DeleteService('{55bbc577-fb0b-4e77-8a51-e033716a9ead}t'); DeleteService('{3b8bbf2f-2888-4db1-9de7-5eeb1a213421}Gt'); DeleteService('{2fb2b93a-d824-4963-962b-e98da201096d}t'); DeleteService('{150ca330-afd5-4527-99bc-b3ce918cea60}t'); DeleteService('{128614e8-07dd-4e11-b9ec-ca2c14f812c5}t'); DeleteFile('C:\WINDOWS\system32\drivers\{150ca330-afd5-4527-99bc-b3ce918cea60}t.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{2fb2b93a-d824-4963-962b-e98da201096d}t.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{3b8bbf2f-2888-4db1-9de7-5eeb1a213421}Gt.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{55bbc577-fb0b-4e77-8a51-e033716a9ead}t.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{60795004-05ce-4992-8494-ff332d4bc1e6}t.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{748ea00c-6f7f-4fc0-becf-f6ebec59eb8f}t.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{820a714f-c526-4777-8e87-e9d6612e0938}t.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{c5db642e-a4dc-48dc-a9f5-088bcf85b719}t.sys','32'); DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.erolpxei.bat','32'); DeleteFile('C:\Documents and Settings\user\Local Settings\Temp\_uninst_.bat','32'); DeleteFile('C:\Documents and Settings\user\Local Settings\Temp\_uninst_36117790.bat','32'); DeleteFile('C:\DOCUME~1\user\APPLIC~1\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\WINDOWS\Tasks\At1.job','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте логи RSIT
Сделайте лог CheckBrowserLnk
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Всё сделал, файлы прикрепил!!!
- Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
- Распакуйте архив с утилитой в отдельную папку.
- Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
- Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
- Прикрепите этот отчет к своему следующему сообщению.
Пофиксите в HiJack
Выполните скрипт в AVZКод:O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\WINDOWS\system32\WwYNcNZ.exe',''); DeleteFile('C:\WINDOWS\system32\WwYNcNZ.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WwYNcNZ'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Удалите вручную
Сделайте новые логиC:\Documents and Settings\user\Application Data\Browsers
C:\Program Files\Enigma Software Group
C:\Documents and Settings\user\Application Data\AdvancedSystemProtector
C:\Documents and Settings\user\Application Data\Systweak
C:\WINDOWS\system32\roboot.exe
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Доброе утро!
Все сделал по инструкции и прикрепил файлы!
Log.info не появляется почему-то!!!
Последний раз редактировалось Саша666; 28.01.2015 в 10:00. Причина: не те файлы прикрепил
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Всё по прежнему, фалы так же зашифрованы((
С расшифровкой не поможем
http://virusinfo.info/announcement.php?f=46&a=52
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 29
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\wwyncnz.exe - Trojan.Win32.Sharik.urr ( AVAST4: Win32:Malware-gen )
Уважаемый(ая) Саша666, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
