Было открыто письмо от судебных приставов.
Файлы Ворд Эксель зашифрованы dartweide r.com
Printable View
Было открыто письмо от судебных приставов.
Файлы Ворд Эксель зашифрованы dartweide r.com
Уважаемый(ая) [B]vasla9[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
QuarantineFile('C:\Users\larisa.larisa-pc7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\300.bmp','');
QuarantineFile('C:\Users\larisa.larisa-pc7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1211_Сyдeбный приказ - судeбнoе постановление, вынесенное судьей единолично на основании ФЗ 4689 5 заявления о взыскании денeжных сyмм или.exe','');
DeleteFile('C:\Users\larisa.larisa-pc7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1211_Сyдeбный приказ - судeбнoе постановление, вынесенное судьей единолично на основании ФЗ 4689 5 заявления о взыскании денeжных сyмм или.exe','32');
DeleteFile('C:\Users\larisa.larisa-pc7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\300.bmp','32');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(false);
end.[/code]Компьютер перезагрузится, [B]сразу войдите в учётную запись с правами администратора[/B].
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
[B]Обновите базы AVZ[/B] ("Файл" -> "Обновление баз"), выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Выложите несколько зашифрованных файлов в архиве, например, на Rghost.ru и дайте ссылку в теме.
[url]http://rghost.ru/57457847[/url]
[url]http://rghost.ru/57457856[/url]
[COLOR="#FF0000"][SIZE=4]Обновите базы AVZ[/SIZE][/COLOR] и переделайте лог.
извиняюсь, затупил
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
TerminateProcessByName('c:\program files\quiknowledge\service\qksvc.exe');
StopService('qknfd');
StopService('qksvc');
QuarantineFile('C:\Program Files\MyPC Backup\MyPC Backup.exe','');
QuarantineFile('C:\Users\kons\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Program Files\Quiknowledge\IE\QuiknowledgeClientIE.dll','');
QuarantineFile('C:\Program Files\MyPC Backup\BackupStack.exe','');
QuarantineFile('C:\Windows\system32\drivers\qknfd.sys','');
QuarantineFile('c:\program files\quiknowledge\service\qksvc.exe','');
DeleteFile('C:\Program Files\MyPC Backup\MyPC Backup.exe');
DeleteFile('C:\Windows\system32\drivers\qknfd.sys','32');
DeleteFile('C:\Program Files\Quiknowledge\Service\qksvc.exe','32');
DeleteFile('C:\Program Files\MyPC Backup\BackupStack.exe','32');
DeleteFile('C:\Program Files\Quiknowledge\IE\QuiknowledgeClientIE.dll','32');
DeleteFile('C:\Users\kons\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
DeleteFile('C:\Windows\system32\Tasks\Digital Sites','32');
DelBHO('{323C6E6D-1621-470F-8A52-4FDEC4E75E40}');
DeleteService('qknfd');
DeleteService('qksvc');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].
Расшифровать не выйдет, пробуйте найти исходные в свойствах папок с закодированными файлами на закладке "Предыдущие версии".
логи
предыдущих версий не найдено, т.к. отключена система восстановления в винде
Что сказать... Ещё одна жертва "полезных" советов.... Сэкономили несколько гигабайт места, но практически потеряли шансы вернуть утраченное. Пробуйте программами восстановления стёртого восстановить.
После этого [url="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]удалите всё найденное в [B]AdwCleaner[/B][/URL].
что именно восстановить надо?
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
походу на одном диске не было отключено восстановление
надо прислать зараженный и не зараженный файлы?
Не поможет.
Если часть файлов находились на диске с включённым восстановлением системы, ищите исходные в "Предыдущих версиях". Если на том, где восстановление системы отключено - пытайтесь применить программы типа [URL="https://www.piriform.com/recuva"]Recuva[/URL].
[QUOTE=Vvvyg;1148549]Не поможет.
Если часть файлов находились на диске с включённым восстановлением системы, ищите исходные в "Предыдущих версиях". Если на том, где восстановление системы отключено - пытайтесь применить программы типа [URL="https://www.piriform.com/recuva"]Recuva[/URL].[/QUOTE]
А эта прога что может? Расшифровать файлы по образцу?
можете посмотреть вложение? там три пары DBF-ок до и после заражения.
[QUOTE=vasla9;1148554]А эта прога что может? Расшифровать файлы по образцу?[/QUOTE]
Восстатновить стёртые шифровальщиком исходные файлы.
[QUOTE=vasla9;1148554]можете посмотреть вложение? там три пары DBF-ок до и после заражения.[/QUOTE]
Бесполезно.
[URL="http://vmartyanov.ru/comdarkweidercom/"]http://vmartyanov.ru/comdarkweidercom/[/URL]
[URL="http://virusinfo.info/showthread.php?t=164586"]Мой компьютер заражен вирусом, я хочу обратиться в полицию (для жителей России)[/URL]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\kons\appdata\roaming\digita~1\update~1\update~1.exe - [B]not-a-virus:AdWare.Win32.DealPly.ab[/B][/LIST][/LIST]