Добрый день!!! Вирус зашифровал все файлы, расширения файлов doc, xls, pdf как обычно, но файлы не открывает, пишет формат файла отличается и открываются иероглифы. Log-файлы утилит во вложении.
Добрый день!!! Вирус зашифровал все файлы, расширения файлов doc, xls, pdf как обычно, но файлы не открывает, пишет формат файла отличается и открываются иероглифы. Log-файлы утилит во вложении.
Уважаемый(ая) sed896, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Неудивительно. Сервер загадили, а админа похоже нет.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Перезагрузите сервер. выполните скрипт в АВЗ:Код:begin SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\All Users\DRM\svchost.exe',''); StopService('Bios'); StopService('WindowsDefender'); DeleteService('WindowsDefender'); DeleteService('Bios'); TerminateProcessByName('c:\windows\ehome\wmisrv.exe'); QuarantineFile('c:\windows\ehome\wmisrv.exe',''); TerminateProcessByName('c:\documents and settings\all users\drm\wa\wasp.exe'); QuarantineFile('c:\documents and settings\all users\drm\wa\wasp.exe',''); TerminateProcessByName('c:\documents and settings\all users\drm\wa\wahiver.exe'); QuarantineFile('c:\documents and settings\all users\drm\wa\wahiver.exe',''); TerminateProcessByName('c:\windows\ehome\svchost.exe'); QuarantineFile('c:\windows\ehome\svchost.exe',''); TerminateProcessByName('c:\documents and settings\all users\drm\svchost.exe'); QuarantineFile('c:\documents and settings\all users\drm\svchost.exe',''); TerminateProcessByName('c:\windows\ehome\www\svchost.exe'); QuarantineFile('c:\windows\ehome\www\svchost.exe',''); TerminateProcessByName('c:\windows\ehome\sound.exe'); QuarantineFile('c:\windows\ehome\sound.exe',''); TerminateProcessByName('c:\documents and settings\all users\drm\wa\smss.exe'); QuarantineFile('c:\documents and settings\all users\drm\wa\smss.exe',''); DeleteFile('c:\documents and settings\all users\drm\wa\smss.exe','32'); DeleteFile('c:\windows\ehome\sound.exe','32'); DeleteFile('c:\windows\ehome\www\svchost.exe','32'); DeleteFile('c:\documents and settings\all users\drm\svchost.exe','32'); DeleteFile('c:\windows\ehome\svchost.exe','32'); DeleteFile('c:\documents and settings\all users\drm\wa\wahiver.exe','32'); DeleteFile('c:\documents and settings\all users\drm\wa\wasp.exe','32'); DeleteFile('c:\windows\ehome\wmisrv.exe','32'); DeleteFile('C:\WINDOWS\ehome\svchost.exe','32'); DeleteFile('C:\Documents and Settings\All Users\DRM\svchost.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Sound'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','KMPlayer'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','KMPlayer'); ExecuteSysClean; end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Пароли меняйте.
- Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.- Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Выполнил все скрипты и рекомендации, логи во вложении, файлы в карантин выслал.
- Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 v385c breg delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\DRM\DEL.BAT delall %SystemRoot%\EHOME\DELETE.BAT zoo %SystemRoot%\EHOME\E_NO_WWW.EXE zoo %SystemRoot%\EHOME\SERVICE.EXE zoo %SystemRoot%\EHOME\WMISRV.SFX.EXE delall %SystemRoot%\EHOME\E_NO_WWW.EXE delall %SystemRoot%\EHOME\SERVICE.EXE delall %SystemRoot%\EHOME\WMISRV.SFX.EXE zoo %SystemRoot%\EHOME\WWW\GECKO\SECURESURF.BROWSER.CLIENT.EXE delall %SystemRoot%\EHOME\WWW\GECKO\SECURESURF.BROWSER.CLIENT.EXE czoo- В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
- Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Перезагрузите сервер.
- После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый лог uVS.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Выполнил скрипт, файлы отправил в карантин, прикладываю новый лог uVS.
Образ поврежден.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
создать лог uVS еще раз???
Да.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Создал лог заново.
Какое расширение получили зашифрованные файлы?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Расширение файлов не поменялось, при попытке открыть документ doc, xls или pdf пишет формат файла отличается от указанного и("спрашивает все равно открыть?", соглашаешься) и открывает иероглифы.
Какие нибудь требования о расшифровке были со стороны злодеев?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
нет, ничего не было.
Пришлите несколько doc файлов в архиве. Если есть, то пришлите пару шифрованный/не шифрованный одного и того же файла
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Есть только зашифрованные файлы. Через менеджер вложений не смог добавить пишет закончилось место, добавил через яндекс диск
https://yadi.sk/d/8ryD9LQQkRpNX
Совсем нет файлов с парой шифрованный/не шифрованный?Есть только зашифрованные файлы.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Перерыл все файлы на всех ПК, к сожалению не нашел пары шифрованный/ не шифрованный.
Затрудняюсь сказать чем зашифрованы файлы. С расшифровкой наверное не поможем слишком мало данных. Если найдете сам шифровальщик, то можно будет понять хотя бы с чем имеем дело, а так нет.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Спасибо, что помогли с лечением ПК.
Уважаемый(ая) sed896, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.