День добрый..Зашифрованы почти все файлы расширение Enciphered...ни одна из найденных утилит в интернете не помогла..прошу помощи..самый нижний файл шифрованный в архиве..
Printable View
День добрый..Зашифрованы почти все файлы расширение Enciphered...ни одна из найденных утилит в интернете не помогла..прошу помощи..самый нижний файл шифрованный в архиве..
Уважаемый(ая) [B]allexr[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[QUOTE]
C:\DOCUME~1\9335~1\LOCALS~1\Temp\HijackThis\HijackThis.exe
[/QUOTE]
Почему не распаковали в отдельную папку утилиту? >:(
Здравствуйте!
Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
ExecuteAVUpdate;
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\DOCUME~1\sokol\LOCALS~1\Temp\1\x6c0S6tEhX8QF02.exe','');
DeleteFile('C:\DOCUME~1\sokol\LOCALS~1\Temp\1\x6c0S6tEhX8QF02.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Alcmeter','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
[/CODE]
[B]Внимание![/B] Перезагрузите сервер вручную. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O4 - .DEFAULT User Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'Default user')
[/CODE]
[LIST=1][*]Загрузите GMER по одной из указанных ссылок:
[B][URL="http://www.gmer.net/download.php"]Gmer со случайным именем[/URL][/B] [I](рекомендуется)[/I], [B][URL="http://www.gmer.net/gmer.zip"]Gmer в zip-архиве[/URL][/B] [I](перед применением распаковать в отдельную папку)[/I][*][B]Временно[/B] отключите драйверы эмуляторов дисков.[*]Запустите программу (пользователям [I]Vista/Seven[/I] запускать от имени [B]Администратора[/B] по правой кнопке мыши).[*]Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите [B]No[/B].[*]После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
[LIST][*][B][COLOR="Blue"]Sections[/COLOR][/B][*][B][COLOR="Blue"]IAT/EAT[/COLOR][/B][*][B][COLOR="Blue"]Show all[/COLOR][/B][/LIST][*]Из всех дисков оставьте отмеченным только системный диск (обычно [B]C:\[/B])[*]Нажмите на кнопку [B]Scan[/B] и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите [B]OK[/B].[*]После окончания проверки сохраните его лог (нажмите на кнопку [B]Save[/B]) и вложите в сообщение.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*]Подробную инструкцию читайте в [URL="http://virusinfo.info/showthread.php?t=40118"]руководстве[/URL][/LIST]
Все сделал по инструкции....лог gmera
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Ребят.. очень прошу помочь потому как накрылись бухгалтерские базы и еще много документов за 6 лет..
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
принесли второй системник с такими же симптомами... неужели ничего нельзя сделать??
Сохраните приведённый ниже текст в файл [b]cleanup.bat[/b] в ту же папку, где находится gmer.exe
[CODE]
gmer.exe -del service zaomvqf
gmer.exe -del file "C:\WINDOWS\system32\zheqogap.dll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\zaomvqf"
[/CODE]
И запустите сохранённый пакетный файл [b]cleanup.bat[/b].
[B]Внимание:[/B] Перезагрузите сервер вручную после выполнения скрипта.
Сделайте новый лог gmer.
[LIST=1][*]Скачайте архив [url=http://support.kaspersky.ru/downloads/utils/tdsskiller.zip]TDSSKiller.zip[/url] и распакуйте его в отдельную папку;[*]Запустите файл [B][I]TDSSKiller.exe[/I][/B].[*]Нажмите кнопку "[b]Начать проверку[/b]". Не меняйте настройки сканирования по умолчанию.[*]В процессе проверки могут быть обнаружены объекты двух типов:[list][*]вредоносные (точно было установлено, какой вредоносной программой поражен объект);[*]подозрительные (тип вредоносного воздействия точно установить невозможно).[/list][*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.[*]Для вредоносных объектов утилита автоматически определяет действие: [b]Лечить[/b] или [b]Удалить[/b].[*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию [b]Пропустить[/b]).[*][B][COLOR="Red"]Самостоятельно без указания консультанта ничего не удаляйте!!![/COLOR][/B][*]После нажатия кнопки [b]Продолжить[/b] утилита выполняет выбранные действия и выводит результат.[*]Прикрепите лог утилиты к своему следующему сообщению[/list]По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: [i]ИмяУтилиты.Версия_Дата_Время_log.txt[/i]
Например, [i]C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt[/i]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]