Добрый день! помогите пожалуйста расшифровать файлы doc, docx, pdf, xlxs вирус [EMAIL="[email protected]"][email protected][/EMAIL] во вложении примеры зашифрованных файлов и логи, заранее огромное спасибо!
Добрый день! помогите пожалуйста расшифровать файлы doc, docx, pdf, xlxs вирус [EMAIL="[email protected]"][email protected][/EMAIL] во вложении примеры зашифрованных файлов и логи, заранее огромное спасибо!
Уважаемый(ая) [B]SERGEY25YKT[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Логи AVZ где?
[url]http://virusinfo.info/pravila.html[/url]
Логи переделать, дав учетной записи административные права
[b]SERGEY25YKT[/b],
[b]thyrex[/b], заменил логи
Сами блокировали?
[QUOTE]
>> Проводник - заблокирован доступ к сетевому окружению
>> Заблокированы настройки системы Windows Update
>> Internet Explorer - заблокированы настройки
>> Заблокирована настройка автоматического обновления
>> Меню Пуск - заблокированы элементы
>> Заблокирована возможность выбора программ по умолчанию
[/QUOTE]
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
O4 - S-1-5-21-1606980848-606747145-1801674531-1508879 User Startup: pic.bmp (User 'fil68_86')
O4 - S-1-5-21-1606980848-606747145-1801674531-1508879 User Startup: ufr_reports (User 'fil68_86')
O4 - S-1-5-21-1606980848-606747145-1801674531-1508879 Startup: pic.bmp (User 'fil68_86')
O4 - S-1-5-21-1606980848-606747145-1801674531-1508879 Startup: ufr_reports (User 'fil68_86')
[/CODE]
[LIST=1][*]Загрузите GMER по одной из указанных ссылок:
[B][URL="http://www.gmer.net/download.php"]Gmer со случайным именем[/URL][/B] [I](рекомендуется)[/I], [B][URL="http://www.gmer.net/gmer.zip"]Gmer в zip-архиве[/URL][/B] [I](перед применением распаковать в отдельную папку)[/I][*][B]Временно[/B] отключите драйверы эмуляторов дисков.[*]Запустите программу (пользователям [I]Vista/Seven[/I] запускать от имени [B]Администратора[/B] по правой кнопке мыши).[*]Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите [B]No[/B].[*]После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
[LIST][*][B][COLOR="Blue"]Sections[/COLOR][/B][*][B][COLOR="Blue"]IAT/EAT[/COLOR][/B][*][B][COLOR="Blue"]Show all[/COLOR][/B][/LIST][*]Из всех дисков оставьте отмеченным только системный диск (обычно [B]C:\[/B])[*]Нажмите на кнопку [B]Scan[/B] и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите [B]OK[/B].[*]После окончания проверки сохраните его лог (нажмите на кнопку [B]Save[/B]) и вложите в сообщение.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*]Подробную инструкцию читайте в [URL="http://virusinfo.info/showthread.php?t=40118"]руководстве[/URL][/LIST]
сделал все, но по завершению сканирование комп сразу перезагружается не удаеться сделать логи
Сделайте лог GMER из безопасного режима.
сделал
Сохраните приведённый ниже текст в файл [b]cleanup.bat[/b] в ту же папку, где находится gmer.exe
[CODE]
gmer.exe -del service dxylidm
gmer.exe -del file "C:\WINDOWS\system32\vpiwr.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\dxylidm"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\dxylidm"
gmer.exe -reboot
[/CODE]
И запустите сохранённый пакетный файл [b]cleanup.bat[/b].
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.
вот сделал
Лог в порядке
Больше пока помочь нечем
Вложение из письма сохранилось?
да вот
Мне нужно вложение из письма, а не логи с зашифрованными файлами.
[QUOTE=mike 1;1142023]Мне нужно вложение из письма, а не логи с зашифрованными файлами.[/QUOTE]
ВОТ
Ушло в вирусную лабораторию через недельки две напишите.
[QUOTE=mike 1;1142063]Ушло в вирусную лабораторию через недельки две напишите.[/QUOTE]
ОК СПС
[INFORMATION][color="#FF0000"][b]Внимание![/b][/color]
[color="#0000FF"]Данная рекомендация по расшифровке предназначена только для пользователя [b]SERGEY25YKT[/b]
Во избежание [u]окончательной потери информации[/u] использовать ее другим пострадавшим от данной разновидности шифровальщика без нашей предварительной проверки [/color][color="#FF0000"][b]не рекомендуется[/b][/color]
Скачайте [URL="http://download.geo.drweb.com/pub/drweb/tools/te102decrypt.exe"]te102decrypt.exe[/URL] и сохраните [B][color="#0000CD"]в корень диска С[/color][/B].
В командной строке введите:
[code]C:\te102decrypt.exe -k 565 –t 11[/code]
[B][COLOR="#FF0000"]Внимание!!![/COLOR][/B]
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет
2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались[/information]
СПАСИБО БОЛЬШОЕ, ВСЕ ФАЙЛЫ ВОССТАНОВИЛИСЬ:D