В общем во всех папках появилися файлик NOCHANCE.txt со следующим содержанием
Ваши файлы зашифрованы надежным криптостойким алгоритмом.
Использование сторонних утилит может повредить файлы, сделав их непригодными к расшифровке.
Для последующей расшифровки оставьте компьютер в текущем состоянии.
Максимально время хранения вашего ключа составляет 2 суток. (до 16.11.2013)
Любые обращения после 16.11.2013 будут игнорироваться.
Для приобретения декриптора обращайтесь по контактам указанным ниже.
Действия, которые могут привести к удалению ключа:
- Запрос платежных реквизитов без последующей оплаты
- Оскорбления
- Угрозы
Так же в папках где храняться текстовые, pdf, документы офиса или архивы стали появляться аналогичные названия файлов с доп расширением например .pdf.nochance
Так же при открытие некоторых файлов не всех, вместо его содержимого, стало отображаться содержимое файла NOCHANCE.txt
Win 7 x64 Prof, Антивирус Microsoft Security Essentials
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) HouK, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Не знаю может быть это будет иметь значения, пару дней назад был скачан файлик с почты Резюме в .docx формате. В нем была таблица с полем OLE где было приложен .pdf файлик, в котором собственно и было резюме.
При открытие .pdf из этого OLE поля, UAC просил разрешение на запуск Adobe Reader. Антивирусник не ругался на него.
Более подозрительных файлов за это время скачано или открыто небыло.
Вирус начал действовать предположительно 14.11.2013 обнаружен в 11:30 по МСК. Более инфы нету.
- - - Добавлено - - -
Еще инфа, открывая несколько типов файлов.
.pdf открываются нормально(проверял не все 1000+ файлов но штук 20 проверил)
.doc и .docx опятьже не все открывал но открываються нормально. .xls вместе с файлом открываеться файл NOCHANCE.txt но в оболочке эксцеля.
В связи с этим вспомнил что работая в Access 2007 при какой то операции Office сделал какую то до настройку. Открылось окно установки минуты 2 что то делало и закрылось.
- - - Добавлено - - -
Еще инфо по поведению.
При открытие просто excel`я из пуска или других ярлыков. Тупо для создания новой книги, то открываеться опять же NOCHANGE.txt
Пути для автозагрузки в самом EXCELE пустые.
Microsoft Essential вирусов не обнаружил.
Чистил CCleanerom реестр, там была строчка про не правильное расширение .nochance , но я настраивал его так что бы он не сохранял бекапы, так что привести его данные по реестру не смогу.
- - - Добавлено - - -
Вот еще раз решил пробежаться по реестру ccleaner`om
В итоге оказалась 1 строчка только, неверное расширение файла и путь. Правда в бекап файле оказалось 2 пути
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\FileExts\.nochance]
Удалил из C:\Users\Владелец\AppData\Roaming\Microsoft\Excel\ XLSTART файл NOCHANCE.txt эксель теперь открываеться нормально.
Осталось наверное как то понять работает сейчас вирус и как он попал ночью на комп.
Ну и как сделать массовое удаление файлов в разных папках.
- - - Добавлено - - -
Таки есть файлы которые зашифрованы, немогу только понять почему не все, либо процесс еще идет либо я совсем дурак.
На диске Д совсем малая часть зашифровалась.
На диске Ц видимо ничего не зашифровалось, покрайне мере на Д есть файлы которые что то весят с расширением .nochance, при этом нормальных файлов рядом с ними нету. А на диске Ц таких файлов нету. Есть просто 0 байтовые с расширением .nochance и рядом нормальные файлы.