Зашифрованы файлы [email protected]_RE808

Зашифрованы файлы форматов .doc .docx .xlsx .xml .pdf .rtf .dt .key .jpg .mpeg .zip .7zip, в IE не скачиваются файлы ("Файл содержал вирус и был удалён")

Прогонял Kaspersky Virus Removal Tool и Dr. Web Cure it в безопасном режиме, последний удалил несколько троянов и эксплойтов, возможно убил и этот вирус. В автозагрузке были 312.exe и africa.bmp которые должны были лежать в C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartUp но я пробовал и в безопасном режиме и с помощью утилиты Касперского загружался с диска, но не нашёл ничего. Только в папке Roaming был этот рисунок, появившийся вместо обоев, вот его я удалил. Также в диспетчере видел непонятный процесс, погуглил и выяснил что это используется для отложенного запуска вирусни например.

[URL="http://radikal.ru/fp/246120c7d79b4c8dace510c41686fa06"][IMG]http://s020.radikal.ru/i722/1310/00/b6f2f8bdc4c1t.jpg[/IMG][/URL]

Примеры зашифрованных файлов [URL]http://yadi.sk/d/4A8xociWBpkq5[/URL]

Уважаемый(ая) [B]gr33ny[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\greenpeace\AppData\Local\Temp\bbyjg.exe','');
QuarantineFile('C:\Users\greenpeace\AppData\Local\Temp\3fcab.exe','');
DeleteFile('C:\Users\greenpeace\AppData\Local\Temp\3fcab.exe','32');
DeleteFile('C:\Windows\Tasks\0m6loh.job','64');
DeleteFile('C:\Users\greenpeace\AppData\Local\Temp\bbyjg.exe','32');
DeleteFile('C:\Windows\Tasks\gbou2r2ztr.job','64');
DeleteFile('C:\Windows\system32\Tasks\gbou2r2ztr','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Скрипт выполнил, комп перезагрузился, но папка Quarantine пустая оказалась. Файл -> Просмотр карантина прога не видит никаких файлов.

Попробовал снова запустить Оперу, на этот раз появилось сообщение об ошибке перед вылетом:
[QUOTE]Файлы, содержащие сведения об этой проблеме:
C:\Users\greenpeace\AppData\Local\Temp\WERB115.tmp.WERInternalMetadata.xml
C:\Users\greenpeace\AppData\Local\Temp\WERC83E.tmp.appcompat.txt
C:\Users\greenpeace\AppData\Local\Temp\WERCACF.tmp.mdmp
[/QUOTE]
но я таких не нашёл там, и ещё такая непонятная хрень:
[URL=http://radikal.ru/fp/d8ef146d58844024bb16597a61829975][IMG]http://i069.radikal.ru/1310/0c/060a1160a3e7t.jpg[/IMG][/URL]

[ATTACH]443750[/ATTACH][ATTACH]443751[/ATTACH]

Плохого не видно

Дешифратором пока никто не поделился

Но IE так и не сохраняет файлы. Вот тут вы помогли такую же проблему решить [url]http://virusinfo.info/showthread.php?t=142214[/url]

И ещё с прошлого раза когда я обращался за помощью, так и не смог найти решение проблем с Защитником и брандмауэром которые с тех пор не работают, а также не знаю что сделать чтобы виндосовский проводник распаковывал .zip как раньше. Прошлый хелпер зашёл в тупик, может у вас какие-нибудь идеи будут.. Вот тема [url]http://virusinfo.info/showthread.php?t=142802[/url]

Сделайте лог TDSSkiller
[quote="gr33ny;1054308"]В автозагрузке были 312.exe[/quote]В карантине CureIt найти можете?

А я просто просканировал и удалил её потом, утилиту в смысле :s

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

Готово.

Так, похоже что все вышеупомянутые проблемы исчезли и всё работает как надо) Только теперь на дисках появилась папка корзины $RECYCLE.BIN и ещё некоторые которых не было, их не будет после удаления КомбоФикса?

И что же насчёт дешифратора? Если он появится сюда в тему кто-нибудь напишет, или мне нужно периодически спрашивать где-то?

[url="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/url]

[quote="gr33ny;1056421"]Только теперь на дисках появилась папка корзины $RECYCLE.BIN и ещё некоторые которых не было, их не будет после удаления КомбоФикса?[/quote]Останутся :)
Самим скрывать их показ нужно будет

[QUOTE=thyrex;1056842][url="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/url[/QUOTE]
Что-то не получилось. Набрал ComboFix /Unistall как на картинке, но он заново просто начал сканировать.
[QUOTE=thyrex;1056842]
Останутся :)
Самим скрывать их показ нужно будет[/QUOTE]
Как? У меня до этого стояло показывать скрытые файлы и папки, но их не было видно.