lockdir

Здравствуйте. Очень нужна помощь. На диске D и на рабочем столе пропали все папки и висит значек lockdir

Проделано:
1. Проверка Cure It - около 60 вирусов удалено.
2. Проверка AVZ - исправил уязвимости и поругался на vkontakter.

После проведенных манипуляций в С:/Program Files/ появилась папка "cwqcwcqwcw/NewProdukt" с файлами "Uninstall" и Uninstal параметры конфигурации.

Согласно правилам вкладываю результаты.

Заранее спасибо.

Уважаемый(ая) [B]Coroner[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выложите несколько зашифрованных файлов в архиве на обменник и пришлите ссылку

[size="1"][color="#666686"][B][I]Добавлено через 30 секунд[/I][/B][/color][/size]

Лог работы CuteIt тоже прикрепите

Собственно из зашифрованых файлов есть только папка lockdir, папок, которые были на дисках не видно. Архивнул лог и lockdir.exe



[url]http://ifolder.ru/26996611[/url]

[url]http://ifolder.ru/26996612[/url]

Здравствуйте!

Закройте все программы

Отключите
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFileF('С:/Program Files/cwqcwqcw/','*',true,' ',0 ,0 ,' ',' ',' ',' ');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
[/code]

[color=#FF0000]Компьютер перезагрузится[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

есть

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

я ошибся в названии папки на С: cwqcwqcw так правильно

[quote="Coroner;841998"]я ошибся в названии папки на С: cwqcwqcw так правильно[/quote]
поправил скрипт 8)

нет. Повторить с правильным скриптом?

карантин получили :), не надо.

понял. что мне дальше делать?

[quote="Coroner;842007"]что мне дальше делать?[/quote]
подождите ответа аналитика, насчёт расшифровки пароля.
ЗЫ. просмотрел карантин, туда попали два файла но не из этой папки, так что
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*', true);
QuarantineFileF('С:/Program Files/cwqcwqcw/','*',true,' ',0 ,0 ,' ',' ',' ',' ');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.[/CODE]
компьтер снова перезагрузится, если что-то попадёт в карантин пришлите согласно правилам.

шас будет:)

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

при попытке запустить скрипт - выдает "Ошибка: "BEGIN" expected в позиции 1:1" :(

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

понял, не было команды begin:)

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

после запуска последнего скрипта - карантин пуст

[size="1"][color="#666686"][B][I]Добавлено через 23 секунды[/I][/B][/color][/size]

после запуска последнего скрипта - карантин пуст

Лог работы CureIt так и не прислали

[b]thyrex[/b], он [URL="http://virusinfo.info/showthread.php?t=112516&p=841986&viewfull=1#post841986"]здесь пост №4[/URL] по первой ссылке :>

Скачайте файловый менеджер Far (farmanager.com) и зайдите в скрытую папку Thumbs.ms в папке с зашифрованными файлами. Из нее нужен хотя бы один RN-файл и System.db.

total commander подойдет?
вечером скину, сейчас на работе.

есть

файлы подошли?

К сожалению, подобрать пароль за разумное время невозможно. Постарайтесь вспомнить, что скачивали / запускали перед тем, как произошло шифрование.

К сожалению что скачивали и запускали выяснить не удалось, не помнят люди. Буду вытаскивать файлы на другой хард и сносить все на этом. Спасибо вам за уделенное время и удачи в развитии проекта!!!