Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 29.

Вирус зашифровал все файлы [Trojan.Win32.Zapchast.accr ] (заявка № 192490)

  1. #1
    Junior Member Репутация
    Регистрация
    06.11.2015
    Сообщений
    15
    Вес репутации
    31

    Вирус зашифровал все файлы [Trojan.Win32.Zapchast.accr ]

    Добрый день!!! Вирус зашифровал все файлы, расширения файлов doc, xls, pdf как обычно, но файлы не открывает, пишет формат файла отличается и открываются иероглифы. Log-файлы утилит во вложении.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) sed896, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Неудивительно. Сервер загадили, а админа похоже нет.

    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

    Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\All Users\DRM\svchost.exe','');
     StopService('Bios');
     StopService('WindowsDefender');
     DeleteService('WindowsDefender');
     DeleteService('Bios');
     TerminateProcessByName('c:\windows\ehome\wmisrv.exe');
     QuarantineFile('c:\windows\ehome\wmisrv.exe','');
     TerminateProcessByName('c:\documents and settings\all users\drm\wa\wasp.exe');
     QuarantineFile('c:\documents and settings\all users\drm\wa\wasp.exe','');
     TerminateProcessByName('c:\documents and settings\all users\drm\wa\wahiver.exe');
     QuarantineFile('c:\documents and settings\all users\drm\wa\wahiver.exe','');
     TerminateProcessByName('c:\windows\ehome\svchost.exe');
     QuarantineFile('c:\windows\ehome\svchost.exe','');
     TerminateProcessByName('c:\documents and settings\all users\drm\svchost.exe');
     QuarantineFile('c:\documents and settings\all users\drm\svchost.exe','');
     TerminateProcessByName('c:\windows\ehome\www\svchost.exe');
     QuarantineFile('c:\windows\ehome\www\svchost.exe','');
     TerminateProcessByName('c:\windows\ehome\sound.exe');
     QuarantineFile('c:\windows\ehome\sound.exe','');
     TerminateProcessByName('c:\documents and settings\all users\drm\wa\smss.exe');
     QuarantineFile('c:\documents and settings\all users\drm\wa\smss.exe','');
     DeleteFile('c:\documents and settings\all users\drm\wa\smss.exe','32');
     DeleteFile('c:\windows\ehome\sound.exe','32');
     DeleteFile('c:\windows\ehome\www\svchost.exe','32');
     DeleteFile('c:\documents and settings\all users\drm\svchost.exe','32');
     DeleteFile('c:\windows\ehome\svchost.exe','32');
     DeleteFile('c:\documents and settings\all users\drm\wa\wahiver.exe','32');
     DeleteFile('c:\documents and settings\all users\drm\wa\wasp.exe','32');
     DeleteFile('c:\windows\ehome\wmisrv.exe','32');
     DeleteFile('C:\WINDOWS\ehome\svchost.exe','32');
     DeleteFile('C:\Documents and Settings\All Users\DRM\svchost.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Sound');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','KMPlayer');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','KMPlayer');
    ExecuteSysClean;
    end.
    Перезагрузите сервер. выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    Пароли меняйте.

    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. #4
    Junior Member Репутация
    Регистрация
    06.11.2015
    Сообщений
    15
    Вес репутации
    31
    Выполнил все скрипты и рекомендации, логи во вложении, файлы в карантин выслал.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код:
      ;uVS v3.86.5 [http://dsrt.dyndns.org]
      ;Target OS: NTv5.2
      v385c
      breg
      
      delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\DRM\DEL.BAT
      delall %SystemRoot%\EHOME\DELETE.BAT
      zoo %SystemRoot%\EHOME\E_NO_WWW.EXE
      zoo %SystemRoot%\EHOME\SERVICE.EXE
      zoo %SystemRoot%\EHOME\WMISRV.SFX.EXE
      delall %SystemRoot%\EHOME\E_NO_WWW.EXE
      delall %SystemRoot%\EHOME\SERVICE.EXE
      delall %SystemRoot%\EHOME\WMISRV.SFX.EXE
      zoo %SystemRoot%\EHOME\WWW\GECKO\SECURESURF.BROWSER.CLIENT.EXE
      delall %SystemRoot%\EHOME\WWW\GECKO\SECURESURF.BROWSER.CLIENT.EXE
      czoo
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Перезагрузите сервер.
    6. После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.


    Сделайте новый лог uVS.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  7. Это понравилось:


  8. #6
    Junior Member Репутация
    Регистрация
    06.11.2015
    Сообщений
    15
    Вес репутации
    31
    Выполнил скрипт, файлы отправил в карантин, прикладываю новый лог uVS.
    Вложения Вложения

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Образ поврежден.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  10. #8
    Junior Member Репутация
    Регистрация
    06.11.2015
    Сообщений
    15
    Вес репутации
    31
    создать лог uVS еще раз???

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Да.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  12. #10
    Junior Member Репутация
    Регистрация
    06.11.2015
    Сообщений
    15
    Вес репутации
    31
    Создал лог заново.
    Вложения Вложения

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Какое расширение получили зашифрованные файлы?
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  14. #12
    Junior Member Репутация
    Регистрация
    06.11.2015
    Сообщений
    15
    Вес репутации
    31
    Расширение файлов не поменялось, при попытке открыть документ doc, xls или pdf пишет формат файла отличается от указанного и("спрашивает все равно открыть?", соглашаешься) и открывает иероглифы.
    Изображения Изображения

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Какие нибудь требования о расшифровке были со стороны злодеев?
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  16. #14
    Junior Member Репутация
    Регистрация
    06.11.2015
    Сообщений
    15
    Вес репутации
    31
    нет, ничего не было.

  17. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Пришлите несколько doc файлов в архиве. Если есть, то пришлите пару шифрованный/не шифрованный одного и того же файла
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  18. #16
    Junior Member Репутация
    Регистрация
    06.11.2015
    Сообщений
    15
    Вес репутации
    31
    Есть только зашифрованные файлы. Через менеджер вложений не смог добавить пишет закончилось место, добавил через яндекс диск
    https://yadi.sk/d/8ryD9LQQkRpNX

  19. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Есть только зашифрованные файлы.
    Совсем нет файлов с парой шифрованный/не шифрованный?
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  20. #18
    Junior Member Репутация
    Регистрация
    06.11.2015
    Сообщений
    15
    Вес репутации
    31
    Перерыл все файлы на всех ПК, к сожалению не нашел пары шифрованный/ не шифрованный.

  21. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Затрудняюсь сказать чем зашифрованы файлы. С расшифровкой наверное не поможем слишком мало данных. Если найдете сам шифровальщик, то можно будет понять хотя бы с чем имеем дело, а так нет.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  22. #20
    Junior Member Репутация
    Регистрация
    06.11.2015
    Сообщений
    15
    Вес репутации
    31
    Спасибо, что помогли с лечением ПК.

  • Уважаемый(ая) sed896, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 8
      Последнее сообщение: 24.04.2015, 01:52
    2. Ответов: 8
      Последнее сообщение: 03.04.2015, 01:53
    3. Ответов: 14
      Последнее сообщение: 19.01.2015, 13:54
    4. Ответов: 7
      Последнее сообщение: 15.08.2013, 15:36
    5. Ответов: 3
      Последнее сообщение: 03.08.2013, 00:01

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01202 seconds with 20 queries