nkopc зашифровал файлы [not-a-virus:NetTool.Win32.Wasppace.l, Trojan-Ransom.Win32.Cryakl.u ]

Добрый день. Проблема в следующем - на компьютере были зашифровано большинство файлов - расширение crypted. В каждой папке текстовый файл с "инструкциями".
Прошу помочь.

Уважаемый(ая) [B]ruus[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[QUOTE]Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
[/QUOTE]
Базы обновите и сделайте новые логи. Это знакомо?

[QUOTE]
c:\windows\help\tours\bo\bin\brfwk.exe
c:\windows\help\tours\m3\metatester.exe
[/QUOTE]

логи обновил
это не знакомо:
c:\windows\help\tours\bo\bin\brfwk.exe
c:\windows\help\tours\m3\metatester.exe

Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
ExecuteAVUpdate;
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('c:\windows\help\tours\m3\metatester.exe','');
QuarantineFile('C:\CheckPfr\Check.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\Help\Tours\BO\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\svchos.exe','');
QuarantineFile('C:\WINDOWS\system32\s.exe','');
QuarantineFile('C:\WINDOWS\Help\Tours\bxd.zip','');
QuarantineFile('C:\WINDOWS\Help\Tours\bxd\copy\osk.exe','');
QuarantineFile('C:\WINDOWS\Help\Tours\bxd\copy\magnify.exe','');
DeleteFile('C:\WINDOWS\Help\Tours\bxd\copy\magnify.exe','32');
DeleteFile('C:\WINDOWS\Help\Tours\bxd\copy\osk.exe','32');
DeleteFile('C:\WINDOWS\Help\Tours\bxd.zip','32');
DeleteFile('C:\WINDOWS\system32\s.exe','32');
DeleteFile('C:\WINDOWS\system32\svchos.exe','32');
DeleteFile('C:\Documents and Settings\Administrator\WINDOWS\Help\Tours\BO\svchost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

[/CODE]

Перезагрузите сервер вручную. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.

[CODE]
O4 - S-1-5-21-62416294-1024727405-2897665890-1006 Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'терминал')
O4 - S-1-5-21-62416294-1024727405-2897665890-1006 User Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'терминал')
O4 - S-1-5-21-62416294-1024727405-2897665890-1011 Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'света')
O4 - S-1-5-21-62416294-1024727405-2897665890-1011 Startup: Ярлык для Wasppacer.exe.lnk.nkopc (User 'света')
O4 - S-1-5-21-62416294-1024727405-2897665890-1011 User Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'света')
O4 - S-1-5-21-62416294-1024727405-2897665890-1011 User Startup: Ярлык для Wasppacer.exe.lnk.nkopc (User 'света')
O4 - S-1-5-21-62416294-1024727405-2897665890-1012 Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'user33')
O4 - S-1-5-21-62416294-1024727405-2897665890-1012 User Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'user33')
O4 - S-1-5-21-62416294-1024727405-2897665890-1013 Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'sys')
O4 - S-1-5-21-62416294-1024727405-2897665890-1013 Startup: Ярлык для svchost.lnk.nkopc (User 'sys')
O4 - S-1-5-21-62416294-1024727405-2897665890-1013 User Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'sys')
O4 - S-1-5-21-62416294-1024727405-2897665890-1013 User Startup: Ярлык для svchost.lnk.nkopc (User 'sys')
O4 - S-1-5-18 Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'SYSTEM')
O4 - S-1-5-18 Startup: Ярлык для svchost.lnk.nkopc (User 'SYSTEM')
O4 - .DEFAULT Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'Default user')
O4 - .DEFAULT Startup: Ярлык для svchost.lnk.nkopc (User 'Default user')
O4 - .DEFAULT User Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'Default user')
O4 - Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
O4 - Startup: Ярлык для svchost.lnk.nkopc
O4 - Global Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
[/CODE]

[QUOTE]
Platform: Windows 2003 SP1 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP1 (6.00.3790.1830)
[/QUOTE]
Ставьте сервис паки и обновляйте Internet Explorer до 8 версии.

Программу MetaTrader 5 Strategy Tester Agent деинсталлируйте раз она вам не знакома.

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*][/LIST]

только обновится пока не получается

[LIST=1][*]Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].[*]Откройте папку с распакованной утилитой [B]uVS[/B] и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт "[B]Запустить под текущим пользователем[/B]".[*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
[CODE]
;uVS v3.83 BETA 4 [http://dsrt.dyndns.org]
;Target OS: NTv5.2

OFFSGNSAVE
breg

delall %SystemRoot%\HELP\TOURS\BO\BRSTART.EXE
zoo %SystemRoot%\HELP\TOURS\BO\SVCHOST.EXE
zoo %SystemDrive%\ADB\TMP\WASPPACER.EXE
delall %SystemRoot%\HELP\TOURS\BO\SVCHOST.EXE
delall %SystemDrive%\ADB\TMP\WASPPACER.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\DEFAULT USER\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\SYS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER33\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\СВЕТА\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\AMERIKA\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ТОЧКА\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ТЕРМИНАЛ 2\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ТЕРМИНАЛ 1\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ТЕРМИНАЛ\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\SYS\START MENU\PROGRAMS\STARTUP\ЯРЛЫК ДЛЯ SVCHOST.LNK.NKOPC
delall %SystemDrive%\DOCUMENTS AND SETTINGS\СВЕТА\START MENU\PROGRAMS\STARTUP\ЯРЛЫК ДЛЯ WASPPACER.EXE.LNK.NKOPC
delall %SystemDrive%\PROGRAM FILES\OPERA\PROGRAM\PLUGINS\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ТЕРМИНАЛ\MY DOCUMENTS\DOWNLOADS\EXPLORER.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ТЕРМИНАЛ\MY DOCUMENTS\DOWNLOADS\EXPLORER.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\СВЕТА\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\MXAF4HY7\EXPLORER[1].EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\СВЕТА\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\MXAF4HY7\EXPLORER[1].EXE
delall %SystemRoot%\ASSEMBLY\NATIVEIMAGES_V2.0.50727_32\ASPNETMMCEXT\D247B896B86C4F4E8992139640CF1A1C\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT

[/CODE][*]В [B]uVS[/B] выберите пункт меню "[B]Скрипт[/B]" => "[B]Выполнить скрипт находящийся в буфере обмена...[/B]"[*]Нажмите на кнопку "[B]Выполнить[/B]" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.[*]После выполнения скрипта упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата [B].ZIP[/B] с паролем [B]virus[/B] и отправьте этот файл по ссылке "[B]Прислать запрошенный карантин[/B]" над первым сообщением в теме.[/list]

Сделайте новый лог uVS.

новый лог

Порядок. Пароли все смените на компьютере от всех учетных записей.

Пробуйте [url]http://support.kaspersky.ru/viruses/disinfection/2911[/url]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\help\tours\bxd.zip - [B]not-a-virus:RiskTool.Win32.HideExec.ac[/B] ( BitDefender: Adware.Generic.443593 )[*] c:\windows\system32\s.exe - [B]not-a-virus:NetTool.Win32.TCPScan.a[/B] ( AVAST4: Win32:TCPScan-C [Cryp] )[*] \zoo\explorer.exe._e7ecb2de56a43f4234d8e58c2db3a2f690e460d3 - [B]Trojan-Ransom.Win32.Cryakl.u[/B] ( BitDefender: Gen:Variant.Zusy.12582, AVAST4: Win32:Malware-gen )[*] \zoo\explorer[1].exe._e7ecb2de56a43f4234d8e58c2db3a2f690e460d3 - [B]Trojan-Ransom.Win32.Cryakl.u[/B] ( BitDefender: Gen:Variant.Zusy.12582, AVAST4: Win32:Malware-gen )[*] \zoo\wasppacer.exe._7610d64a21ef562b998f4298fd7219ef11eafcdd - [B]not-a-virus:NetTool.Win32.Wasppace.l[/B] ( BitDefender: Gen:Variant.Strictor.53196 )[/LIST][/LIST]