[FONT=Verdana]Добрый день. Такая проблема. Все офисные и медиа файлы зашифрованы и имеют расширение *[email protected]. Можно ли расшифровать файлы на ПК [/FONT]
[FONT=Verdana]Log файлы приложены.[/FONT]
[FONT=Verdana]Спасибо.[/FONT]
[FONT=Verdana]Добрый день. Такая проблема. Все офисные и медиа файлы зашифрованы и имеют расширение *[email protected]. Можно ли расшифровать файлы на ПК [/FONT]
[FONT=Verdana]Log файлы приложены.[/FONT]
[FONT=Verdana]Спасибо.[/FONT]
Уважаемый(ая) [B]Alex.P[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName('c:\users\tcoy-iv.ksi39\appdata\roaming\microsoft\windows\start menu\programs\startup\Архивная документация о привлечении в качестве свидетеля по гражданскому делу №873779.exe');
QuarantineFile('c:\users\tcoy-iv.ksi39\appdata\roaming\microsoft\windows\start menu\programs\startup\Архивная документация о привлечении в качестве свидетеля по гражданскому делу №873779.exe','');
DeleteFile('c:\users\tcoy-iv.ksi39\appdata\roaming\microsoft\windows\start menu\programs\startup\Архивная документация о привлечении в качестве свидетеля по гражданскому делу №873779.exe','32');
DeleteFile('C:\Users\TCOY-IV.KSI39\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\foxmail.bmp','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Обновите базы AVZ
Сделайте новые логи
Файл сохранён как 150126_094839_virus_54c5d5379d8a4.zip
Размер файла 2915596
MD5 3083b6a6641ff0675bd00da085e357e0
Базы AVZ так и не обновили
Логи в порядке
С расшифровкой не поможем
[url]http://virusinfo.info/announcement.php?f=46&a=52[/url]
даже если базы обновить, с расшифровкой не поможете?
[QUOTE=Alex.P;1219897]даже если базы обновить, с расшифровкой не поможете?[/QUOTE]
Нет, не поможем. Хотелось увидеть новые логи с обновленными базами AVZ.
логи
Файл сохранён как 150127_100053_virusinfo_autoquarantine_54c72995bc406.zip
Размер файла 2915641
MD5 12ff1694d687c9d6d9aa3cbc52e80241
[URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=1f9960495de93ffc8c0627dc8c162a19&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=1f9960495de93ffc8c0627dc8c162a19&text={searchTerms}
[/CODE]
[LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]CheckBrowserLnk[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]checkbrowserlnk.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]После окончания работы программы на рабочем столе будет сохранен отчет [b]CheckBrowserLnk.log[/b][*]Прикрепите этот отчет в вашей теме.[/LIST]
отчет
Логи в порядке. Пишите в техподдержку DrWeb они вроде как уже научились такие файлы расшифровывать.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\tcoy-iv.ksi39\appdata\roaming\microsoft\windows\start menu\programs\startup\архивная документация о привлечении в качестве свидетеля по гражданскому делу №873779.exe - [B]Trojan-Ransom.Win32.Aura.bs[/B][/LIST][/LIST]