Вирус зашифровал все файлы [Trojan.Win32.Zapchast.accr ]

Добрый день!!! Вирус зашифровал все файлы, расширения файлов doc, xls, pdf как обычно, но файлы не открывает, пишет формат файла отличается и открываются иероглифы. Log-файлы утилит во вложении.

Уважаемый(ая) [B]sed896[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Неудивительно. Сервер загадили, а админа похоже нет.

[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].

Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\DRM\svchost.exe','');
StopService('Bios');
StopService('WindowsDefender');
DeleteService('WindowsDefender');
DeleteService('Bios');
TerminateProcessByName('c:\windows\ehome\wmisrv.exe');
QuarantineFile('c:\windows\ehome\wmisrv.exe','');
TerminateProcessByName('c:\documents and settings\all users\drm\wa\wasp.exe');
QuarantineFile('c:\documents and settings\all users\drm\wa\wasp.exe','');
TerminateProcessByName('c:\documents and settings\all users\drm\wa\wahiver.exe');
QuarantineFile('c:\documents and settings\all users\drm\wa\wahiver.exe','');
TerminateProcessByName('c:\windows\ehome\svchost.exe');
QuarantineFile('c:\windows\ehome\svchost.exe','');
TerminateProcessByName('c:\documents and settings\all users\drm\svchost.exe');
QuarantineFile('c:\documents and settings\all users\drm\svchost.exe','');
TerminateProcessByName('c:\windows\ehome\www\svchost.exe');
QuarantineFile('c:\windows\ehome\www\svchost.exe','');
TerminateProcessByName('c:\windows\ehome\sound.exe');
QuarantineFile('c:\windows\ehome\sound.exe','');
TerminateProcessByName('c:\documents and settings\all users\drm\wa\smss.exe');
QuarantineFile('c:\documents and settings\all users\drm\wa\smss.exe','');
DeleteFile('c:\documents and settings\all users\drm\wa\smss.exe','32');
DeleteFile('c:\windows\ehome\sound.exe','32');
DeleteFile('c:\windows\ehome\www\svchost.exe','32');
DeleteFile('c:\documents and settings\all users\drm\svchost.exe','32');
DeleteFile('c:\windows\ehome\svchost.exe','32');
DeleteFile('c:\documents and settings\all users\drm\wa\wahiver.exe','32');
DeleteFile('c:\documents and settings\all users\drm\wa\wasp.exe','32');
DeleteFile('c:\windows\ehome\wmisrv.exe','32');
DeleteFile('C:\WINDOWS\ehome\svchost.exe','32');
DeleteFile('C:\Documents and Settings\All Users\DRM\svchost.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Sound');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','KMPlayer');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','KMPlayer');
ExecuteSysClean;
end.

[/CODE]

Перезагрузите сервер. [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

Пароли меняйте.

[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*][/LIST]

Выполнил все скрипты и рекомендации, логи во вложении, файлы в карантин выслал.

[LIST=1][*]Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].[*]Откройте папку с распакованной утилитой [B]uVS[/B] и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт "[B]Запустить под текущим пользователем[/B]".[*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
[CODE]
;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v385c
breg

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\DRM\DEL.BAT
delall %SystemRoot%\EHOME\DELETE.BAT
zoo %SystemRoot%\EHOME\E_NO_WWW.EXE
zoo %SystemRoot%\EHOME\SERVICE.EXE
zoo %SystemRoot%\EHOME\WMISRV.SFX.EXE
delall %SystemRoot%\EHOME\E_NO_WWW.EXE
delall %SystemRoot%\EHOME\SERVICE.EXE
delall %SystemRoot%\EHOME\WMISRV.SFX.EXE
zoo %SystemRoot%\EHOME\WWW\GECKO\SECURESURF.BROWSER.CLIENT.EXE
delall %SystemRoot%\EHOME\WWW\GECKO\SECURESURF.BROWSER.CLIENT.EXE
czoo
[/CODE][*]В [B]uVS[/B] выберите пункт меню "[B]Скрипт[/B]" => "[B]Выполнить скрипт находящийся в буфере обмена...[/B]"[*]Нажмите на кнопку "[B]Выполнить[/B]" и дождитесь окончания работы программы. Перезагрузите сервер.[*]После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "[b]Прислать запрошенный карантин[/b]" над над первым сообщением в теме.[/LIST]

Сделайте новый лог uVS.

Выполнил скрипт, файлы отправил в карантин, прикладываю новый лог uVS.

Образ поврежден.

создать лог uVS еще раз???

Да.

Создал лог заново.

Какое расширение получили зашифрованные файлы?

Расширение файлов не поменялось, при попытке открыть документ doc, xls или pdf пишет формат файла отличается от указанного и("спрашивает все равно открыть?", соглашаешься) и открывает иероглифы.

Какие нибудь требования о расшифровке были со стороны злодеев?

нет, ничего не было.

Пришлите несколько doc файлов в архиве. Если есть, то пришлите пару шифрованный/не шифрованный одного и того же файла

Есть только зашифрованные файлы. Через менеджер вложений не смог добавить пишет закончилось место, добавил через яндекс диск
[url]https://yadi.sk/d/8ryD9LQQkRpNX[/url]

[QUOTE]Есть только зашифрованные файлы.[/QUOTE]
Совсем нет файлов с парой шифрованный/не шифрованный?

Перерыл все файлы на всех ПК, к сожалению не нашел пары шифрованный/ не шифрованный.

Затрудняюсь сказать чем зашифрованы файлы. С расшифровкой наверное не поможем слишком мало данных. Если найдете сам шифровальщик, то можно будет понять хотя бы с чем имеем дело, а так нет.

Спасибо, что помогли с лечением ПК.