всё текстовые файлы закодированы вирусом! что делать?

**xz-rain** · 18.10.2015, 22:21

добрый день!получили письмо через outlook в результате открытия письма все текстовые документы были закодированы!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 18.10.2015, 22:22

Уважаемый(ая) xz-rain, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 19.10.2015, 22:52

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

**xz-rain** · 20.10.2015, 09:01

сделал как попросили!

**thyrex** · 20.10.2015, 21:19

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {0b9fe0d7-640e-11e3-9099-001a92378fd2} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {0d761637-458c-11e1-9849-0060087830c8} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\Recycled\deskinf.pif
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {1c0f35e9-905b-11e2-9a37-001a92378fd2} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {2182f285-00b7-11e2-997e-001a92378fd2} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\Recycled\deskinf.pif
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {34d1bf06-ced9-11e4-88f2-0060087830c8} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {441e6156-b152-11e2-8f9e-001a92378fd2} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {470aae1b-6375-11e1-98a3-0060087830c8} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\Recycled\deskinf.pif
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {4750922c-1858-11e2-9998-001a92378fd2} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\Recycled\deskinf.pif
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {49f23d5d-732f-11e5-89a3-0060087830c8} - F:\AUTORUN.EXE
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {4be2686c-91aa-11e3-90d1-001a92378fd2} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\Recycled\deskinf.pif
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {4e5ec689-2eeb-11e2-99b2-001a92378fd2} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\Recycled\deskinf.pif
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {5cde692d-3534-11e2-99ba-001a92378fd2} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {6bbfc3fa-4d63-11e1-986a-0060087830c8} - F:\ECorzR.Exe
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {6cba0ae4-6812-11e5-8995-0060087830c8} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {77c6a732-f5c5-11e2-8ffb-001a92378fd2} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\Recycled\deskinf.pif
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {7bc1d7d1-cf2f-11e2-8fcc-001a92378fd2} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {7d1d034e-cd37-11e4-88ef-0060087830c8} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {8e7a3829-c0a5-11e4-88e0-0060087830c8} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {a0c2524a-5edf-11e2-99f2-001a92378fd2} - F:\ECorzR.Exe
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {b145d83d-f827-11e2-8ffd-001a92378fd2} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {b60cf229-4341-11e1-9846-001a92378fd2} - F:\ECorzR.Exe
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {bd874bd2-606c-11e2-99f7-001a92378fd2} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {be5cd648-53ab-11e1-9881-001a92378fd2} - F:\ECorzR.Exe
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {c1fd0f03-0e14-11e3-9015-001a92378fd2} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {dc49cf38-508c-11e1-987b-001a92378fd2} - F:\ECorzR.Exe
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {e3204b31-5eb0-11e1-9892-0060087830c8} - F:\ECorzR.Exe
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {e76c7265-de20-11e2-8fde-001a92378fd2} - F:\tebija/trebam.exe
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {edfb2aa4-a0d2-11e1-990c-001a92378fd2} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\Recycled\deskinf.pif
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\MountPoints2: {fc59c03c-cf6b-11e3-912d-001a92378fd2} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-796845957-2052111302-682003330-1003\...\Winlogon: [Shell] explorer.exe,C:\Documents and Settings\Пользователь\cbzvl.exe <==== ATTENTION
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
Toolbar: HKU\S-1-5-21-796845957-2052111302-682003330-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
SearchScopes: HKU\S-1-5-21-796845957-2052111302-682003330-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://search.babylon.com/?q={searchTerms}&babsrc=SP_def&AF=14276
2015-10-12 14:38 - 2015-10-13 11:49 - 0401830 _____ () C:\Documents and Settings\Пользователь\Application Data\lock.bmp
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

**xz-rain** · 20.10.2015, 22:37

сделал!

**thyrex** · 20.10.2015, 23:57

http://support.kaspersky.ru/viruses/disinfection/10556 пробуйте

всё текстовые файлы закодированы вирусом! что делать? (заявка № 191490)

Опции темы