Требуется лечение

Добрый день!
Попал к Вам ввиду наличия проблемы, аналогичной уже описаной на форуме.
Большинство файлов после стандартного расширения получило дописку .vscrypt. Соответственно, все эти файлы не читаются.

Трояна загрузил (скорее всего) с сайта mail.ru согласившись на обновление install_flash_player_10_active_x.exe в 8.30 утра.

Заранее благодарен.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\sdra64.exe,
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Провел вышеописанные процедуры. Есть одно но. Очистить темп-папки.
Прошел по ссылке под словом "очистить" и выполнил указанные там инструкции. Как искать и чистить темп-папки, я не знаю.
вложения прилагаются.

[QUOTE=deadmen;415216]
Прошел по ссылке под словом "очистить" и выполнил указанные там инструкции. Как искать и чистить темп-папки, я не знаю.[/QUOTE]Искать их не надо - они системные и скрытые от пользователя. Указанные в статье методы позволяют удалить их содержимое, не обращаясь к ним непосредственно через проводник.
Закачайте файл ..\avz\log\virusinfo_cure.zip тут: [url]http://virusinfo.info/upload_virus.php?tid=47536[/url]

Закачал. Жду дальнейших указаний.:?

Файл D:\никита\кач\sms.exe - откуда он у Вас? Репутация у него сомнительная: [url]http://www.virustotal.com/analisis/31d2fd8c740d387fbba052caa8e1ecd9d889021db7c0f0abacc3a6b22861d244-1244717420[/url]

- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)

Т.е. нужно снести указанный файл и закачать сервис пак с сайта майкрософта? А с убитыми файлами что делать?
Вновь создаваемые файлы Word - рождаются мертвыми. Другие программы я не пробовал.

[QUOTE=deadmen;415239]Т.е. нужно снести указанный файл[/QUOTE] Это решайте уж сами, плиз.
[QUOTE]закачать сервис пак с сайта майкрософта[/QUOTE]и установить его
[QUOTE]А с убитыми файлами что делать?[/QUOTE]Трудно сказать. Пусть пока лежат. Может лекарство [I]кто-нить[/I] сделает.
[QUOTE]Вновь создаваемые файлы Word - рождаются мертвыми. [/QUOTE]М.б. вирус и не убит вовсе, а просто не виден.
В любом случае выполните проверку на файловые вирусы: [url]http://virusinfo.info/showthread.php?t=15927[/url]

Как отследить что "кто-нить" сделал таблетку? Мне сообщат или где-то надо смотреть обновления?

[QUOTE=deadmen;415255]Мне сообщат...?[/QUOTE]Не думаю... Сделайте СЕЙЧАС проверку последним КуреИтом по инструкции.

есть подозрение что надо переустанавливать офис:(

[QUOTE=deadmen;417022]надо переустанавливать офис[/QUOTE]Так в чем проблема?

На рабочем столе, правой кнопкой - создать документ Word
Файл при открытии закодирован. Удаляешь всю лабуду из нутри, сохраняешь на диск в какую-нибудь папку и работаешь нормально.

Если сохранить на рабочем столе, то перекодирует при повторном открытии, но например в японский или корейский. Ставишь кирилицу и все ок.:>

Никто, ничего не придумал еще?

[QUOTE=deadmen;421391]Никто, ничего не придумал еще?[/QUOTE] Оффис переустановили?

[QUOTE=Rene-gad;421430]Оффис переустановили?[/QUOTE]

неа... Пока не дергаюсь. Может хто разберется. Дело кажись не в офисе.

Перекодировки происходят при использовании правая клавиша мыши= создать (файл ехеl/ворд или папку). перекодируется часть файлов. Если открывать программу (ехеl/ворд) в ней создать новый документ, а потом сохранить как, то все пашет в штатном режиме.

Может куда-нить кинуть парные файлы (например металлl.xls.vscrypt и металлl.xls) чтобы разобрались?

Кстати, файлы Jpeg, которые при открытии пишут что просмотр невозможен, при наведении на них курсора показываются в левом нижнем углу проводника и изображение там соответствует.

Значит какой-то вирус еще у Вас гуляет.
Как прислать подозрительные файлы Вы знаете :)

а в чем их подозрительность? Это же результат работы вируса.
Сегодня свежый ДохтарВеб в темп-папке нашел Троян.Панда....
Обновить AVZ и HiJackThis прогнать проверку и скинуть отчет к вам ?

[QUOTE=deadmen;421467]
Обновить AVZ и HiJackThis прогнать проверку и скинуть отчет к вам ?[/QUOTE]Логи не нужны, т.к. файловые вирусы в них все равно не видны. Какой у Вас штатный АВ? Вендору пошлите зараженный файл.

[QUOTE=Rene-gad;421470]... Какой у Вас штатный АВ? Вендору пошлите зараженный файл.[/QUOTE]
:(АВ-анти вирус? никакого нет. Кто такой Вендор и как ему послать?